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James Turnbull 是 一 位 技术 作家 ， 还 是 一 名 开源 极 客 。 他 最 近 的 大 作 是 一 





本 讲述 流行 开源 日 志 工 具 的 书 一 一 The LogStash Book 。James 还 写 了 两 

本 关于 Puppet 的 书 ， 一 本 是 Pro Puppet ， 男 一 本 是 较 早 的 Pulling Strings 
with Puppet: Configuration Management Made Easy 。 此 外 ，James 还 写 了 
Pro Linux System Administration、 Pro Nagios 2.0 和 Hardening Linux 这 三 
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James 是 Kickstarter 公 司 的 CTO。 之 前 ，James 曾 担任 Docker 公 司 服务 与 
支持 副 总 裁 、Venmo 公 司 工程 副 总 裁 和 Puppet Labs 的 技术 运 维 副 总 裁 。 


本 修订 版 聚集 于 Docker 1.9 及 更 高 版 本 。 











李 兆 海 网 名 Googol Lee。 使 用 Googol 这 个 名 字 真 的 是 因为 “10 的 100 次 
方 ” 这 个 意思 ， 和 后 来 的 Google 公 司 没有 一 点 儿 关 系 。 多 年 后 端 程序 
员 ， 早 期 以 C、C++ 为 主 ， 后 来 转向 Python， 现在 以 Go 为 生 。 曾 写 过 








《Golang 初 探 》 发 表 于 2011 年 2 月 号 《程序 员 》。 了 Docker 早 期 使 用 者 。 
平时 喜欢 乱 翻 书 ， 遇 到 感 兴趣 的 都 会 研究 一 番 。Twitter 账 户 
@googollee. 


MU 具有 10 余 年 软件 开发 经 验 ， 关 注 后台 开 发 技术 和 各 种 编程 语言 。 
做 过 电子 商务 、 金 融 、 企 业 系 统 以 及 Android 手 机 开发 ; 写 过 Delphi， 也 
兼 做 系统 管理 员 和 DBA 《现在 都 改 叫 DevOps 了 ) ; 既 做 后 台 应 用 ， 也 
要 调用 前 台 CSS 和 JavaScript， 可 还 是 不 敢 自 称 * 全 栈 ”(EFull Stack) ; 今 
又 舶 来 "增长 黑客 ”(Growth Hacker) ， 我 想 我 要 做 一 个 “增长 工程 

师 ”(Growth Engineer) 。 个 人 主页 http:Vliubin.org。 


巨 震 北京 大 学 软件 工程 硕士 ， 服 务 器 端 开 发 者 。 目 前 就 职 于 创业 公 
司 ， 使 用 Node.js、 2013 年 底 开 始 研 究 
Docker， 是 Docker 中 文 社区 的 活跃 贡献 者 ， 负 责 Docker 技 术 文 章 和 视频 
的 翻译 、 校 对 工作 。 生 活 中 喜欢 美食 、 骑 行 ， 热 训 于 PC 硬件 ， 言 爱 折 
腾 ， 热 爱 一 切 计 算 机 相关 的 技术 ， 坚 信 技 术 改 变 世 界 。 最 崇拜 的 技术 伟 
奇人 物 是 前 id Software 首 席 程 序 员 、 现 Oculus VR 首 席 技 术 官 John 
Carmack. 
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Docker 是 一 个 开源 的 应 用 容器 引擎 ， 开 发 者 可 以 利用 Docker 打 包 上 自己 的 
应 用 以 及 依赖 包 到 一 个 可 移植 的 容器 中 ， 然 后 发 布 到 任何 流行 的 Linux 
机 器 上 ， 也 可 以 实现 虚拟 化 。 


本 书 由 Docker 公 司 前 服务 与 文 持 副 总 裁 James Tumbull 编 写 ， 是 权威 的 
Docker 开 发 指南 。 本 书 专注 于 Docker 1.9 及 以 上 版 本 ， 指 导读 者 完成 
Docker 的 安装 、 部 署 、 管 理 和 扩展 ， 带 领 读 者 经 历 从 测试 到 生产 的 整个 
开发 生命 周期 ， 让 读者 了 解 Docker 适 用 于 什么 场景 。 书 中 先 介绍 Docker 
及 其 组 件 的 基础 知识 ， 然 后 介绍 用 Docker 构 建 容 器 和 服务 来 完成 各 种 任 
务 : 利用 Docker 为 新 项 目 建立 测 斌 环境， 演示 如 何 使 用 持续 集成 的 工作 
流 集 成 Docker， 如 何 构 建 应 用 程序 服务 和 平台 ， 如 何 使 用 Docker 的 
API， 如 何 扩 展 Docker。 


本 书 适合 对 Docker 或 容器 开发 感 兴趣 的 系统 管理 员 、 运 维 人 员 和 开发 人 


员 阅 读 。 
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Docker 来 了 ! 突然 发 现 曾经 顶礼 膜拜 的 Hypervisor 虚 拟 化 已 处 于 被 整个 
颠覆 的 悬 岩 边缘，Docker 容 器 技术 的 直接 虚拟 化 不 仅 在 技术 方面 使 CPU 
利用 率 得 到 显著 提升 ， 还 因 80:20 法 则 可 在 业务 上 更 大 程度 发 挥 CPU 利 

用 率 ， 而 恰恰 后 者 才 真 正体 现 了 虚拟 化 之 精髓 ! 这 本 书 用 了 大 量 简短 可 
操作 的 程序 实例 介绍 Docker 的 工作 原理 ， 几 乎 页 页 都 是 满 满 的 代码 干 

货 ， 程 序 员 读 者 可 跟着 这 些 例子 自己 动手 玩 转 Docker， 这 真是 一 部 专 为 
程序 员 写 的 好 书 ! ITA LOPE GRAZE, SABRE”, BART 
呢 ? 还 等 什么 ， 赶 紧 开始 知识 更 新 吧 ， 别 让 你 的 知识 技能 这 一 看 家 本 领 
EREA T! 














毛 文 波 ， 道 里 云 CEO， 
曾 创建 EMC 中 国 实验 室 并 担任 首席 科学 家 ， 曾 参与 创建 HP 中 国 实验 室 


Docker 是 什么 ? 它 有 什么 用 ? 为 什么 身边 的 程序 员 都 在 谈论 这 个 新 兴 的 
开源 项 目 ? 


Docker 是 轻 量 级 容器 管理 引擎 ， 它 的 出 现 为 软件 开发 和 云 计算 平台 之 间 
建立 了 桥 染 。Docker 将 成 为 互联 网 应 用 开发 领域 最 重要 的 平台 级 技术 和 
标准 。 这 本 书 由 曾 任 职 于 Docker 公 司 的 资深 工程 师 编写 ， 由 国内 社区 以 
最 快 的 速度 完成 翻译 ， 是 学 习 Docker 的 最 佳 入 门 书籍 。 如 果 你 是 一 位 希 
望 让 自己 的 代码 运行 在 云端 的 程序 员 ， 现 在 就 开始 学 习 Docker 吧 ! 


一 一 喻 勇 ，DaoCloud 联 合 创始 人 


Docker 的 核心 价值 在 于 ， 它 很 有 可 能 改变 传统 的 软件 “交付 ”方式 和 “ 运 
行 ”方式 。 传 统 的 交付 源码 或 交付 软件 包 的 方式 的 最 大 问题 在 于 ， 软 件 
运行 期 间 所 “依赖 的 环境 ”是 无 法 控制 、 不 能 标准 化 的 ，IT 人 员 营 第 需要 
耗费 很 多 精力 来 解决 因为 “依赖 的 环境 ?而 导致 软件 运行 出 现 的 各 种 问 
题 。 而 Docker 将 软件 与 其 “依赖 的 环境 ”打包 在 一 起 ， 以 镜像 的 方式 交 
付 ， 让 软件 运行 在 “标准 的 环境 "中 ， 这 非常 符合 云 计算 的 要 求 。 这 种 变 





























划一 旦 为 IT 人 员 接 受 ， 可 能 会 对 产业 链 带 来 很 大 的 冲击 。 我 们 熟悉 的 
apt-get 和 yum 是 否 会 逐渐 被 docker pull 取代 ? 


有 了 标准 化 的 运行 环境 ， 加 上 对 CPU、 内 存 、 网 络 等 动态 资源 的 限制 ， 
Docker 构 造 了 一 个 “ 轻 量 虚拟 环境 ”， 传 统 虚 拟 机 的 绝 大 多 数 使 用 场景 可 
以 被 Docker 取 代 ， 这 将 给 开 基 础 设施 市 来 一 次 更 大 的 冲击 ; KVM, 
ZEN、VMWare 将 会 何去何从 ? 此 外 ，Docker 秒 级 创建 /删除 虚拟 机 及 动 
态 调整 资源 的 能 力 ， 也 非常 契合 云 计算 “实例 水 平 扩 展 ， 资 源 动态 调 
整 ” 的 需求 ，Docker 很 有 可 能 成 为 云 计 算 的 基石 。 

正 是 因为 Docker 将 对 传统 IT 技术 带 来 上 述 两 种 "革命 性 ”的 冲击 ， 所 以 我 
们 看 到 围绕 Docker 的 创业 项 目 如 火 如 茶 。IT 从 业 人 员 应 该 及 早 拥抱 
Docker， 拥 抱 变 化 。 阅 读本 书 束 是 最 佳 入 门 途径 。 


和 
践 者 

















Docker 今 天 已 经 算是 明星 技术 了 ， 各 种 技术 大 会 都 会 有 人 谈论 它 ， 越 来 
越 多 的 人 像 我 一 样 对 这 门 技 术 着 迷 。 我 开始 关注 Docker 是 因为 当时 主要 
关注 PaaS 的 一 些 技 术 进 展 ， 当 时 PaaS 受 到 云 计 算 三 层 模型 的 禁 铀 ， 诞 生 
很 多 非常 重型 的 解决 方案 。 我 并 不 喜欢 这 些 方案 ， 不 仅 是 因为 这 些 方案 
复杂 ， 而 且 充 满 了 重复 造 轮子 的 自以为是 。 但 是 Docker 的 诞生 给 我 眼前 
一 亮 的 感觉 ，Docker 竹 生 时 从 技术 上 看 貌似 没有 任何 亮点 : 隔离 和 资源 
限定 都 是 LXC 做 的 ， 安 全 是 用 GRSec 〈 那 时 候 还 没有 SELinux 支 持 ) ， 
镜像 文件 依赖 于 AUFS。 但 是 ， 就 是 因为 Docker 什 么 有 技术 含量 的 活 儿 
都 没 做 ， 才 显得 它 非常 干净 ， 非 常 优雅 。Docker 提 供 了 一 种 优雅 的 方式 
去 使 用 上 述 技术 ， 而 不 是 自 顾 自 地 去 实现 这 些 已 有 的 很 好 的 技术 ， 这 样 
会 使 构建 环境 的 成 本 极 大 降低 ， 从 而 非常 有 效 地 减少 运 维 的 复杂 性 ， 这 
不 就 是 Paas 的 本 质 吗 ? 


短 短 一 年 的 时 间 过 后 ，Docker 在 中 国都 有 了 专门 的 容器 大 会 ， 甚 至 出 现 
了 一 票 难 求 的 情况 ， 可 见 这 一 技术 不 但 在 国外 快速 地 被 社区 认同 ， 在 国 
内 也 得 到 广泛 的 应 用 。 我 坚信 PaaS 的 构建 应 该 是 多 种 组 件 灵活 搭配 组 合 
的 ， 而 不 应 该 是 包罗 万 象 的 全 套 方案 ，Docker 的 设计 符合 这 种 原则 ， 这 
是 我 最 为 欣赏 的 。Docker 的 发 展 异 常 迅 猛 ， 整 个 社区 生态 医 盈 同上 一 片 
繁 采 。 希 望 阅 读本 书 的 读者 也 尽快 加 入 充满 乐趣 的 Docker 大 家 性 中 来 。 


一 一 程 显 峰 ，MongoDB 中 文 社区 创始 人 ， 独 立 技 术 顾 问 






































以 Docker 为 代表 的 容器 技术 是 目前 非常 流行 的 一 类 技术 ， 对 虚拟 化 、 云 
计算 乃至 软件 开发 流程 都 有 壮 命 性 的 有 影响。 本 书 系统 而 又 深入 涛 出 地 介 
绍 了 与 Docker 部 晋 和 应 用 相关 的 各 个 方面 ， 体 现 了 Docker 的 最 新 进展 ， 
并 附 有 大 量 详尽 的 实例 。 无 论 系 统 架 构 师 、IT 决 策 者 ， 还 是 云端 开发 人 
员 、 系 统管 理 员 和 运 维 人 员 ， 都 能 在 本 书 中 找到 所 需 的 关于 Docker 的 内 
容 。 本 书 非常 适合 作为 进入 Docker 领 域 的 第 一 本 书 。 


FAK, WERT BGA CRED 首席 项 目 经 理 
我 很 高 兴 能 看 到 第 一 本 引进 国内 的 Docker 技 术 书 。 这 本 书 对 于 迫切 想 了 


人 
RV VBE 








一 一 肖 德 时 ， 数 人 云 CTO 


阅读 本 书 ， 就 像 参 加 一 个 Docker 专 家 的 面授 读 程 ， 书 中 包含 了 很 多 非常 
实用 的 小 型 案例 ， 让 你 能 够 循序 渐进 地 照 着 学 习 ， 加 深 理 解 。 好 多 示例 
代码 都 可 以 拿 来 直接 在 开发 中 使 用 。James Turnbull 是 个 写 书 的 高 手 ， 章 
节 安 排 合理 紧凑 ， 由 浅 入 深 地 慢 慢 引 领 你 理解 Docker 的 奥秘 。Docker 不 
仅仅 是 技术 ， 更 是 一 个 生态 系统 ， 技 术 和 新 项 目 层 出 不 穷 ， 每 一 章 最 后 
都 有 介绍 本 章 相关 的 互联 网 项 目 〈 都 可 能 是 下 一 个 Google〉， 这 是 最 能 
体现 作者 技术 功力 的 。 无 论 你 是 哪个 行业 的 程序 员 ， 这 本 Docker 的 书 缀 
对 会 让 你 受益 菲 浅 。 








Bele, RAIA TET RE AR 


相 比 OpenStack 这 种 三 商 主导 的 开源 项 目 ，Docker 的 社区 更 具 极 客 风 

格 ， 更 加 活跃 ， 也 更 具 颠 覆 潜 力 。 对 Docker 本 身 ， 已 经 不 用 我 再 多 说 ， 
只 希望 大 家 都 看 看 这 本 书 ， 并 能 积极 尝试 Docker。 纵 观 IT 行 业 历 史 ， 大 
的 技术 变革 从 来 不 是 诞生 于 大 厂商 口中 的 金 重 ， 而 是 一 人 小报 儿 爱好 者 的 
小 玩意 儿 ， 而 Docker 正 是 这 个 路 子 。 











一 一 赵 鹏 ，Hyper 投 资 人 


Go 语言 是 近年 来 IT 技术 发 展 历 程 中 最 伟大 的 事情 ， 而 Docker 的 出 现 则 是 
云 计 算 发 展 的 重要 里 程 碑 。 作 为 Go 语言 的 杀手 级 应 用 ，Docker 推 动 了 
Go 语言 社区 的 发 展 。 技 术 的 全 球 同 步 化 在 加 速 ， 但 非 英 语 母语 一 定 程 
度 制 约 了 中 国 IT 技术 的 发 展 。 这 是 一 本 Docker 团 队 成 员 撰 写 的 书 ， 是 一 





份 难 得 的 学 习 Docker 技 术 的 权威 教材 。 我 很 高 兴 见 到 中 文 翻 译 能 够 如 此 
迅速 地 跟 进 ， 这 是 一 件 了 不 起 的 事情 。 我 很 期 竺 更 多 人 能 够 通过 这 本 
书 ， 了 解 Docker， 参 与 到 Docker 的 生态 中 ， 共 同 推进 中 国 IT 产 业 的 进 


ZV o 





一 一 许 式 伟 ， 七 牛 云 存储 CEO，《Go 语 言 编程 》 作 者 


我 非常 喜欢 这 本 书 ， 它 弥补 了 开源 项 目 通常 缺失 的 文档 部 分 。 书 中 涉及 
从 安装 到 入 门 到 业务 场景 下 的 各 种 应 用 及 开发 。 本 书 作 者 的 权威 性 以 及 
译 者 的 专业 态度 也 保证 了 这 本 书 的 严谨 性 。 这 本 书 非 常 适合 广大 的 
Docker 爱 好 者 阅读 。 





一 一 村 玉 杰 ，OpenStack 基 金 会 董事 


ry 





WB (35 —ANDockers) BATRA or ETT AAS, ESE AY 
计算 机 方面 书籍 的 技术 出 版 已 经 非常 专业 ， 在 书籍 选择 和 翻译 上 都 很 用 
心 ， 感 谢 杨 海 玲 编辑 为 这 本 书 的 出 版 所 做 的 巨大 努力 ， 这 本 书 为 国内 的 
Docker RÉ AK pelk S EKI 


从 本 书 的 第 一 版 发 行 到 现在 ， 容 器 社区 出 现 了 翻天 覆 地 的 变化 。Docker 
虽然 是 目前 容 需 社区 的 最 大 电 家 ， 古 很 多 用 户 使 用 容器 的 首选 ， 但 从 

1.9 版 本 开始 它 逐 渐 移 除了 对 其 他 容器 解决 方案 的 文 持 。 以 前 进入 容 需 

社区 时 宣讲 的 容器 引擎 不 复 存 在 ， 随 之 而 来 的 是 更 多 了 商业 因 系 参 洒 的 一 
个 开源 项 目 。 如 果 Docker 公 司 有 痒 成功， 我 们 将 有 机 会 见证 在 云 时 代 一 
个 开源 创业 公司 如 何 成 为 商业 领域 的 成 功 者 ， 也 为 国内 的 创业 者 指出 了 
一 条 可 行 的 路 径 。 但 如 今 这 个 时 代 ， 任 何 行 业 、 任 何 形式 的 垄断 不 是 被 
摧毁 就 是 在 被 打破 的 过 程 中 。 容 器 生态 中 的 每 一 个 成 员 ， 都 期 竺 着 在 一 
个 开放 的 体系 中 获取 目 己 的 位 置 ， 获 取 应 得 的 利益 。 商 业 惑 是 如 此 残酷 
的 游戏 ， 连 OpenStack 这 样 硕 大 的 生态 ， 部 会 对 容 避 的 快速 发 展 带 来 的 
威胁 不 寒 而 栗 。 


在 Linux 基 金 会 的 运作 下 ，OCI (Open Container Initiative) 和 

CNCF (Cloud Native Computing Foundation) 两 个 组 织 相继 成 立 。 他 们 
负责 的 领域 组 成 了 以 容器 为 核心 的 技术 栈 ， 在 重新 定义 Linux 容 器 各 种 
标准 的 同时 ， 通 过 Kubernetes 这 样 的 优秀 项 目 为 业界 提供 使 用 容器 的 最 
佳 实践 。 很 多 从 业者 意识 到 ， 单 一 容器 或 单一 服务 器 的 一 组 容器 都 不 再 
是 关注 的 重点 ， 如 何 通过 云 原生 应 用 (Cloud Native Application) 和 微 
服务 框架 (Microservice Framework) ， 把 商业 逻辑 映 冉 为 容器 集群 ， 为 
商业 成 功 黄 定 技术 基础 才 是 核心 。Docker Swarm 作为 Google Kubernetes 
的 唯一 竞争 对 手 ， 关 于 它 的 内 容 是 本 书 读者 最 需要 关注 的 ， 正 确 选 择 容 
器 编排 调度 工具 比 选择 容器 引擎 更 为 关键。 容器 相关 标准 不 断 发 布 ， 所 
有 容器 相关 的 各 种 工具 都 会 根据 标准 修改 自己 的 接口 ， 生 态 环境 会 随 之 
更 加 开放 和 健壮 。 





























开源 不 再 是 以 往 自由 软件 (Free Software) 的 精神 ， 而 是 如 今 商 业 社会 
的 重要 组 成 部 分 。 在 华为 内 部 一 个 大 型 技术 会 议 上 的 演讲 ， 我 用 如 下 的 
论断 作为 结束 语 ， 也 期 待 给 本 书 的 读者 带 来 一 点 局 示 : 

无 开源 ， 不 生态 。 

无 生态 ， 不 商业 。 


一 一 马 全 一 ， 资 深 染 构 师 ， 开 源 技 术 专 家 


我 们 走 在 容 如 化 的 大 道上 








如 果 你 是 一 位 技术 爱好 者 ， 时 刻 关 心 业界 最 新 动态 ， 那 么 最 近 一 定 没 少 
听 说 Docker 吧 ， 这 绝对 是 在 技术 圈 线 上 线 下 都 在 谈论 的 一 个 热门 话题 。 


说 实话 ，Docker 算 不 上 是 什么 全 新 的 技术 ， 它 基于 LXC (LinuX 
Containers) ， 使 用 AUFS， 而 这 些 都 是 已 经 存在 很 长 时 间 并 被 广泛 应 用 
了 的 技术 。 但 运营 PaaSs 服 务 的 dotCloud 公 司 将 这 些 技术 整合 到 一 起 ， 提 
供 了 简单 易 用 的 路 平台 、 可 移植 的 容器 解决 方案 。Docker 最 初 由 
dotCloud 公 司 在 2013 年 发 布 。 自 发 布 以 来 ， 其 发 展 速度 之 快 超 平 了 很 多 
人 的 想象 ， 一 路 高 歌 独 进 ，2014 年 6 月 终于 发 布 了 1.0 稳 定 版 ， 而 
dotCloud 在 2013 年 10 月 干脆 连 公 司 名 字 也 改 为 了 Docker, Inc.。 


Docker 也 可 以 被 称 为 轻 量 级 虚拟 化 技术 。 与 传统 的 VM 相 比 ， 它 更 轻 

量 ， 启 动 速度 更 快 ， 单 台 硬 件 上 可 以 同时 跑 成 百 上 千 个 容器 ， 所 以 非常 
适合 在 业务 高 峰 期 通过 启动 大 量 容器 进行 横向 扩展 。 现 在 的 云 计算 可 能 
更 多 地 是 在 使 用 类 似 EC2 的 云 主机 ， 以 后 也 许 应 该 更 多 地 关注 容器 了 。 


Docker 是 可 移植 〈 或 者 说 路 平台) 的 ， 可 以 在 各 种 主流 Linux 发 布 版 或 
者 OS 义 以 及 Windows 上 (需要 使 用 boot2docker 或 者 虚拟 机 ) 使 用 。Java 
可 以 做 到 “一 次 编译 ， 到 处 运行 >”， 而 Docker 则 可 以 称 为 “构建 一 次 ， 在 
各 平台 上 运行 ”(Build once，run anywhere) 。 


从 这 一 点 可 以 豪 不 夸张 地 说 ，Docker 是 革命 性 的 ， 它 重新 定义 了 软件 开 
发 、 测 试 、 交 付 和 部 署 的 流程 。 我 们 交付 的 东西 不 再 只 是 代码 、 配 置 文 
件 、 数 据 库 定义 等 ， 而 是 整个 应 用 程序 运行 环境 : “OS+ 各 种 中 间 件 、 
类 库 + 应 用 程序 代码 ”。 


无 论 你 是 开发 人 员 、 测 试 人 员 还 是 运 维 人 员 ， 随 着 对 Docker 越 来 越 深 入 
的 了 解 ， 你 都 会 爱 上 它 。 我 们 只 需要 运行 几 条 docker run 就 可 以 配置 
好 开发 环境 ， 通 过 Dockerfile 或 者 Docker Hub 与 他 人 分 享 我 们 的 镜像 ， 与 
其 他 服务 集成 ， 进 行 开 发 流程 的 目 动 化 。 














开发 工程 师 开 发 、 提 交代 码 到 代码 服务 器 (GitHub. BitBucket, 
Gitlab 等 ) 。 

代码 服务 器 通过 webhook 调用 CIUCD 服 务 ， 如 Codeship 〈 没 错 ， 就 
是 2014 年 11 月 刚 融 资 800 万 美元 的 那 家 初创 公司 ) 、Shippable、 
CircleCI 或 者 自 建 Jenkins 等 。 

CI 服务 器 下 载 最 新 代码 ， 构 建 Docker 镜 像 ， 并 进行 测试 。 

自动 集成 测试 通过 之 后 ， 就 可 以 将 之 前 构建 的 镜像 推送 到 私有 
Registry- 

运 维 使 用 新 版 的 Docker 镜 像 进行 部 署 。 


试想 一 下 这 种 开发 流程 是 不 是 很 酷 ? 除了 工作 流程 的 自动 化 之 外 ， 还 能 
消除 线 上 线 下 环境 不 一 致 导 致 的 问题 。 以 后 “在 我 的 机 器 上 运行 得 好 好 
的 .…….” 这 种 托 词 应 该 再 也 没 人 信 了 吧 。 


Docker 是 为 Infrastructure as code 而 生 的 ， 通 过 Dockerfile， 镑 像 创 建 过 程 
变 得 自动 且 可 重复 ， 还 能 进行 版 本 管理 。 


Docker 是 为 不 可 变 基 础 设施 (Immutable Infrastructure) 而 生 的 ， 对 无 状 
态 服务 的 升级 、 部 署 将 会 更 轻便 更 简单 : 我 们 无 需 再 对 它们 的 配置 进行 
修改 ， 只 需要 销毁 这 个 服务 并 重建 一 个 就 好 了 。 


Docker 也 是 为 云 计 算 而 生 的 ，Docker 的 出 现 离 不 开 云 计算 的 兴起 ， 反 过 
来 更 多 的 云 计算 服务 提供 商 也 都 开始 把 Docker 纳 入 自己 的 服务 体系 之 
中 ， 比 如 最 近 一 个 大 事件 就 是 Google 刚 刚 发 布 了 Google Container 
Engine (alpha) 服务 ， 一 个 基于 其 开源 Docker 编 配 工具 Kubernetes 

的 “Cluster-as-a-Service”。 容 器 技术 在 云 计 算 时 代 的 重要 程度 由 此 可 见 一 
PE. 


这 是 一 本 带领 读者 进入 Docker 世 界 的 入 门 书 。 隐 读本 书 除 了 能 帮助 读者 
理解 Docker 的 基本 原理 ， 熟 练 掌握 Docker 的 各 种 常见 的 基本 操作 之 外 ， 
还 能 帮助 读者 了 解 Docker 的 实际 应 用 场景 以 及 如 何 利 用 Docker 进 行 开发 
等 话题 ， 比 如 ， 如 何 使 用 Docker 和 Jenkins 进 行 测试 ， 如 何 对 应 用 程序 进 
行 Docker 化 ， 以 及 如 何 构建 由 Node.js 和 Redis 组 成 的 多 容器 应 用 栈 。 当 
然 ， 书 中 也 不 会 忘 了 最 近 比 较 火 的 Fig 一 一 一 个 Docker 编 配 工具 ， 开 发 
此 工具 的 公司 是 位 于 英国 伦敦 的 Orchard Laboratories， 前 段 时 间 该 公司 
刚刚 被 Docker 收 购 ， 继 续 Fig 的 开发 。 现 代 应 用 程序 都 离 不 开 APL， 
Docker 当 然 也 不 例外 。 在 第 8 章 中 ， 读 者 将 学 到 如 何 使 用 API 而 不 是 
Docker 命 令 来 对 Docker 镜 像 和 容器 进行 管理 。 如 果 你 也 想 为 Docker 页 献 
































自己 的 力量 ， 那 么 一 定 不 能 错过 第 9 章 的 内 容 ， 这 一 章 将 会 主要 介绍 如 
何 给 Docker 提 issue， 如 何 完 成 Docker 文 档 ， 以 及 如 何 构 建 Docker 开 发 环 
境 和 提交 Pull Request. 





最 后 ， 我 说 代表 合 译 者 李 兆 海 和 巨 震 ， 回 在 本 书 翻译 过 程 中 给 与 了 很 大 
帮助 的 一 些 人 表示 最 诚挚 的 感谢 。EFiona CBD 在 本 书 编写 过 程 中 做 
了 很 多 沟通 和 协调 工作 ， 也 对 很 多 术语 翻译 提出 了 建议 。 马 全 一 是 
Docker 中 文 社区 和 https://docker.cn 的 创始 人 ， 也 是 本 书 中文 版 翻译 工作 
的 发 起 人 。 此 外 还 有 人 民 邮 电 出 版 社 的 杨 海 玲 等 编辑 老师 ， 没 有 她 们 的 
认真 工作 ， 这 本 书 也 不 会 以 完美 的 形式 展现 在 各 位 读者 面前 。 








本 书面 癌 的 读者 


本 书 适合 希望 实施 Docker 或 基于 容器 的 虚拟 化 技术 的 开发 者 、 系 统管 理 
员 和 有 意 用 DevOps 的 人 员 阅 读 。 


要 阅读 本 书 ， 读 者 需要 具备 一 定 的 Linuxy/Unix 技 能 ， 并 熟悉 命令 行 、 文 
件 编辑 、 软 件 包 安装 、 服 务 管理 和 基本 的 网 络 知识 。 











注意 
环境 中 ， 也 推荐 使 用 1.9 或 更 高 版 本 。 


致谢 
我 的 合伙 人 及 好 友 Ruth Brown， 感 谢 你 迁就 我 进行 本 书 的 写 


感谢 Docker 公 司 的 团队 ， 感 谢 你 们 开发 出 Docker， 并 在 本 书写 作 期 
间 提 供 无 私 的 帮助 。 

感谢 #docker 频 道 和 Docker 邮 件 列表 里 的 朋友 们 。 

感谢 Royce Gilbert， 感 谢 你 不 仅 提供 超 赞 的 技术 插图 ， 还 为 本 书 英 

文 版 设计 了 封面 。 

感谢 Abhinav Ajgaonkar， 感 谢 你 提供 自己 的 Node.js 和 Express 示 例 应 
用 程序 。 

感谢 本 书 的 技术 审 校 团 了 从， 你 们 让 我 时 刻 保持 头脑 清醒 ， 并 指出 了 
书 中 的 思春 错误 。 

ee P. J. Day， 感 谢 你 在 本 书 发 布 后 提供 了 极 详细 的 勘误 


本 书 中 有 3 张 配 图 是 由 Docker 公 司 提供 的 。 


DockerIM 是 Docker 公 司 的 注册 商标 。 


技术 审 稿 人 团队 


Scott Collier 





Scott Collier 是 一 位 高 级 主任 系统 工程 师 ， 就 职 于 Red Hat 的 系统 设计 及 

工程 团队 。 该 团队 根据 从 销售 、 市 场 以 及 工程 团队 收集 到 的 数据 ， 杜 别 
并 提供 高 价值 的 解决 方案 ， 并 为 内 外 部 用 户 开 发 参考 架构 。Scott 是 Red 
Hat 认 证 构架 师 CRHCA) ， 具 有 超过 15 年 的 开 从 业经 验 ， 他 现在 专注 于 
Docker、OpenShift 以 及 Red Hat 系 列 产品 。 


除了 思考 分 布 式 构架 之 外 ，Scott 喜 欢 跑 步 、 登 山 、 露 营 ， 还 喜欢 陪 妻 子 
和 3 个 孩子 在 得 克 陕 斯 州 的 奥斯汀 享受 烧烤 。 他 的 技术 文章 以 及 相关 信 
息 可 以 在 http:Wcolliernotes.com 上 找到 。 








John Ferlito 


John 是 一 位 连续 创业 者 ， 同 时 也 是 高 可 用 性 、 可 扩展 性 基础 设备 专家 。 
John 现 在 在 自己 创建 的 Bulletproof 公 司 担任 CTO， 这 是 一 家 提供 关键 任 
务 的 云 服务 商 ， 同 时 ，John 还 兼任 提供 综合 视频 服务 的 Vquence 公 司 的 
CTO。 


在 空 亲 时 间 ，John 投 喘 上 自由 及 开源 软件 〈Free and Open Source Soft, 
FOSS) 社区 。 他 是 linux.conf.au 2007 会 议 的 联合 发 起 人 ， 也 是 2007 年 悉 
尼 Linux 用 户 委 员 会 (Sydney Linux User Group, SLUG) 的 委员 。 他 做 
过 大 量 的 开源 项 目 ， 如 Debian、Ubuntu、Puppet 以 及 Annodex 套 件 。 读 
者 可 以 在 他 的 个 人 博客 Chttp://inodes.org/blog) 上 查看 他 的 文章 。John 
拥有 新 南 威 尔 士 大 学 的 工程 学 士 荣誉 学 位 〈 计 算 机 科学 类 ) 。 








Paul Nasrat 


Paul Nasrat 就 职 于 Google 公 司 ， 是 一 位 网 站 可 靠 性 工程 师 ， 同 时 也 是 
Docker 的 页 献 者 。 他 在 系统 工程 领域 做 了 大 量 的 开源 工具 ， 包 括 启 动 加 
载 器 、 包 管理 以 及 配置 管理 等 。 


Paul 做 过 各 种 系统 管理 和 软件 开发 的 工作 。 他 曾 在 Red Hat 担 任 软件 工程 
师 ， 还 在 ThoughtWorks 公 司 担任 过 基础 设备 专家 级 顾问 。Paul 在 各 种 大 














会 上 做 过 演讲 ， 既 有 DevOps 活 动 早期 在 2009 年 敏捷 大 会 上 关于 敏捷 基 
础 设备 的 演讲 ， 也 有 在 小 型 聚会 和 会 议 上 的 演讲 。 


技术 插图 作家 


Royce Gilbert (ksuroyce@yahoo.com) 是 本 书 技术 插图 的 作者 ， 在 他 超 
过 30 年 的 从 业经 验 中 ， 他 做 过 CAD 设 计 、 计 算 机 支持 、 网 络 技术 、 项 目 
管理 ， 还 曾 为 多 家 世界 500 强 企业 提供 商务 系统 分 析 ， 包 括 安然 
(Enron) 、 康 相 (Compaq) ~ PR (Koch) 和 阿 英 科 (Amoco) R 
。Royce 在 位 于 堪萨斯 州 曼哈顿 的 雯 蔷 斯 州立 大 学 担任 系统 /业务 分 析 
员 。 他 业余 时 间 在 自己 的 Royce 艺 术 工 作 室 进行 创作 ， 是 一 位 独立 艺术 
家 和 技术 插 男 家 。 他 和 38 岁 的 妻子 在 坊 陡 斯 州 的 弗 林 特 山 上 修复 了 一 间 
有 127 年 历史 的 石头 老 屋 ， 并 以 此 为 居所 ， 过 着 平静 的 生活 。 


校对 者 


Q 女 士 在 纽约 地 区 长 大 ， 是 一 位 高 中 教师 、 纸 杯 重 粽 冷 冻 师 、 业 余 科学 
家 、 法 医 人 类 学 家 ， 还 是 一 名 灾难 应 急 专 家 。 她 现 居 旧 金山 ， 制 作 音 
乐 ， 研 究 表演 ， 整 理 ng-newsletter (1 ， 并 负责 照顾 Stripe 公 司 的 名 流 。 





排版 约定 
这 是 行内 代码 语句 : inline code statement 。 


下 面 是 代码 块 : 








代码 清单 0-1 示例 代码 块 


This is a code block 


过 长 的 代码 行 会 换行 。 











代码 及 示例 


读者 可 以 在 http://www.dockerbook.com/code/index.html 获取 本 书 的 代码 
和 示例 程序 ， 也 可 以 从 GitHub Chttps://github.com/jamtur01/dockerbook- 
code ) 签 出 。 


说 明 


本 书 身 文 原版 是 用 Markdown 格 式 写 的 ， 同 时 也 使 用 了 大 量 的 LaTeX 格 
式 的 标记 符号 ， 然 后 用 PanDoc 转 成 PDF 和 其 他 格式 《〈 还 使 用 了 
Backbone.js on Rails 2! 那 帮 好 兄弟 写 的 脚本 ) 。 





勘误 
如 果 读 者 发 现任 何 错误 ， 请 用 电子 邮件 与 我 联系 ， 我 的 邮箱 是 


james+errata@ lovedthanlost.net. 


版 本 


本 书 是 The Docker Book 一 书 v1.9.1 版 的 中 文 版 。 





[1] [http://www.ng-newsletter.com/](http://www.ng-newsletter.com/) 


[2]  [https://learn.thoughtbot.com/products/1-backbone-js-on-rails] 
(https://learn.thoughtbot.com/products/1-backbone-js-on-rails) 





在 计算 世界 中 ， 容 器 拥有 一 段 漫长 且 传 奇 的 历史 。 容 器 与 管理 程序 虚拟 
化 (hypervisor virtualization, HV) 有 所 不 同 ， 管 理 程序 虚拟 化 通过 中 





间 层 将 一 台 或 多 台独 立 的 机 器 虚拟 运行 于 物理 硬件 之 上 ， 而 容器 则 是 直 
接 运 行 在 操作 系统 内 核 之 上 的 用 户 空间 。 因 此 ， 容 器 虚拟 化 也 被 称 
e ale 容器 技术 可 以 让 多 个 独立 的 用 户 空间 运行 在 同 
— 答 主 aor 


由 于 “客居 ”于 操作 系统 ， 容 器 只 能 运行 与 底层 宿主 机 相同 或 相似 的 操作 
系统 ， 这 看 起 来 并 不 是 非常 灵活 。 例 如 ， 可 以 在 Ubuntu 服务 器 中 运行 
RedHat Enterprise Linux， 但 却 无 法 在 Ubuntu 服务 器 上 运行 Microsotft 
Windows。 


相对 于 彻底 隔离 的 管理 程序 虚拟 化 ， 容 器 被 认为 是 不 安全 的 。 而 反对 这 
一 观点 的 人 则 认为 ， 由 于 虚拟 机 所 虚拟 的 是 一 个 完整 的 操作 系统 ， 这 无 
疑 增 大 了 攻击 范围 ， 而 且 还 要 考虑 管理 程序 层 潜在 的 暴露 风险 。 


尽管 有 诸多 局 限 性 ， 容 器 还 是 被 广泛 部 获 于 各 种 各 样 的 应 用 场合 。 在 起 
大 规模 的 多 租户 服务 部 署 、 轻 量 级 沙 盒 以 及 对 安全 要 求 不 太 高 的 隔离 环 
境 中 ， 容 器 技术 非常 流行 。 最 常见 的 一 个 例子 就 是 “权限 隔离 监 

牢 ”(chroot jail) ， 它 创建 一 个 隔离 的 目录 环境 来 运行 进程 。 如 果 权 限 
隔离 监牢 中 正在 运行 的 进程 被 入 侵 者 攻破 ， 入 侵 者 便 会 发 现 自 己 “ 身 陷 
a 目录 中 ， 无 法 对 宿主 机 进行 进 
水族 不 。 


最 新 的 容器 技术 引入 了 OpenVZ、Solaris Zones 以 及 Linux 容 器 (如 

Ixc) 。 使 用 这 些 新 技术 ， 容 器 不 再 仅仅 是 一 个 单纯 的 运行 环境 。 在 自 

己 的 权限 范围 内 ， 容 器 更 像 是 一 个 完整 的 答 主 机 。 对 Docker 来 说 ， 它 得 

荔 于 现代 Linux 内 核 特 性 ， 如 控件 组 (control group) 、 命 名 空间 
(namespace) 技术 ， 容 器 和 宿主 机 之 间 的 隔离 更 加 彻底 ， 容 器 有 独 江 

的 网 络 和 存储 栈 ， 还 拥有 自己 的 资源 管理 能 力 ， 使 得 同一 台 宿 主机 中 的 
































多 个 容器 可 以 友好 地 共存 。 


容器 经 常 被 认为 是 精益 技术 ， 因 为 容器 需要 的 开销 有 限 。 和 传统 的 虚拟 
化 以 及 半 虚 拟 化 (paravirtualization〉 相 比 ， 容 器 运行 不 需要 模拟 层 
(emulation layer) 和 管理 层 (hypervisor layer) ， 而 是 使 用 操作 系统 的 
系统 调用 接口 。 这 降低 了 运行 单个 容器 所 需 的 开销 ， 也 使 得 宿主 机 中 可 
以 运行 更 多 的 容器 。 

尽管 有 着 光辉 的 历史 ， 容 器 仍 示 得 到 广泛 的 认可 。 一 个 很 重要 的 原因 就 


是 容器 技术 的 复杂 性 : 容器 本 身 就 比较 复杂 ， 不 易 安 装 ， 管 理 和 自动 化 
也 很 困难 。 而 Docker 束 是 为 改变 这 一 切 而 生 。 














1.1 Docker 人 简介 


Docker 是 一 个 能 够 把 开发 的 应 用 程序 自动 部 署 到 容器 的 开源 引擎 。 由 
Docker 公 司 (www.docker.com， 前 dotCloud 公 司 ，PaaS 市 场 中 的 老牌 提 
供 商 ) 的 团队 编写 ， 基 于 Apache 2.0 开 源 授权 协议 发 行 。 


| 顺便 披露 一 个 小 新 闻 : 作者 本 人 目前 是 Docker 公 司 的 顾问 。 


那么 Docker 有 什么 特别 之 处 呢 ? Docker 在 虚拟 化 的 容器 执行 环境 中 增加 
了 一 个 应 用 程序 部 署 引 擎 。 该 引擎 的 目标 就 是 提供 一 个 轻 量 、 快 速 的 环 
境 ， 能 够 运行 开发 者 的 程序 ， 并 方便 高 效 地 将 程序 从 开发 者 的 笔记 本 部 
署 到 测试 环境 ， 然 后 再 部 晋 到 生产 环境 。Docker 极 其 简洁 ， 它 所 需 的 全 
部 环境 只 是 一 台 仅 仅 安 装 了 兼容 版 本 的 Linux 内 核 和 二 进 制 文件 最 小 限 
的 答 主 机 。 而 Docker 的 目标 就 是 要 提供 以 下 这 些 东 西 。 


1.1.1 提供 一 个 简单 、 轻 量 的 建 模 方式 


Docker 上 手 非常 快 ， 用 户 只 需要 几 分 钟 ， 就 可 以 把 自己 的 程序 *Docker 
化 ”(Dockerize) 。Docker 依 赖 于 “ 写 时 复制 ”(copy-on-write) 模型 ， 使 
修改 应 用 程序 也 非常 迅速 ， 可 以 说 达到 了 “随心 所 至 ， 代 码 即 改 ” 的 卉 


界 。 


随后 ， 就 可 以 创建 容器 来 运行 应 用 程序 了 。 大 多 数 Docker 容器 只 需 不 
到 1 秒 钟 即 可 启动 。 由 于 去 除了 管理 程序 的 开销 ，Docker 容 器 拥有 很 高 
的 性 能 ， 同 时 同一 台 宿 主机 中 也 可 以 运行 更 多 的 容器 ， 使 用 户 可 以 尽 可 
能 充分 地 利用 系统 资源 。 


1.1.2 ”职责 的 逻辑 分 离 

使 用 Docker， 开 发 人 员 只 需要 关心 容器 中 运行 的 应 用 程序 ， 而 运 维 人 员 
只 需要 关心 如 何 管理 容器 。Docker 设 计 的 目的 就 是 要 加 强 开 发 人 员 写 代 
码 的 开发 环境 与 应 用 程序 要 部 署 的 生产 环境 的 一 致 性 ， 从 而 降低 那 
种 “开发 时 一 切 都 正常 ， 肯 定 是 运 维 的 问题 * 的 风险 。 


1.1.3 快速、 高 效 的 开发 生命 周期 


























Docker 的 目标 之 一 就 是 缩短 代码 从 开 发 、 测 试 到 部 获 、 上 线 运 行 的 周 
期 ， 让 你 的 应 用 程序 具备 可 移植 性 ， 易 于 构建 ， 并 易于 协作 。 


1.1.4 ”或 励 使 用 面 癌 服务 的 架构 


Docker 还 鼓励 面向 服务 的 架构 和 微服 务 架构 中 。Docker 推 荐 单个 容器 
只 运行 一 个 应 用 程序 或 进程 ， 这 样 就 形成 了 一 个 分 布 式 的 应 用 程序 模 

型 ， 在 这 种 模型 下 ， 应 用 程序 或 服务 部 可 以 表示 为 一 系列 内 部 互联 的 容 
项， 从 而 使 分 布 式 部 闭 应 用 程序 ， 扩 展 或 调试 应 用 程序 都 变 得 非常 简 

单 ， 同 时 也 提高 了 程序 的 内 省 性 。 


EE 如 果 你 愿意 ， 当 然 不 必 拘 泥 于 这 种 模式 ， 你 可 以 轻松 地 在 一 个 容器 内 运行 多 个 进程 的 应 





























1.2 Docker 组 件 
我 们 来 看 看 Docker 的 核心 组 件 : 


。 Docker 客 户 端 和 服务 器 ， 也 成 为 Docker 引 擎 ; 
e。 Docker 镜 像 ; 

e Registry; 

e Docker #5. 


1.2.1 Docker 客 户 端 和 服务 器 


Docker 是 一 个 客户 端 /服务 器 〈《C/S) 架构 的 程序 。Docker 客 户 端 只 需 向 
Docker 服 务 器 或 守护 进程 发 出 请 求 ， 服 务 吉 或 守护 进程 将 完成 所 有 工作 
并 返回 结果 。Docker 守 护 进程 有 时 也 称 为 Docker 引 擎 。Docker 提 供 了 一 
个 命令 行 工 具 docker 以 及 一 整套 RESTful API 器 来 与 守护 进程 交互 。 

用 户 可 以 在 同一 台 窒 主机 上 运行 Docker 守 护 进程 和 客户 端 ， 也 可 以 从 本 
地 的 Docker 客 户 痢 连接 到 运行 在 力 一 台 窒 主机 上 的 远程 Docker 守 护 进 
程 。 图 1-1 描 绘 了 Docker 的 架构 。 








Docker Docker Docker 
客户 端 客户 端 客户 端 


Docker 守 护 进 程 


Docker 容 器 | 


图 1-1 Docker 架 构 


Docker 主 机 





1.2.2 ”Docker 镜 像 


镜像 是 构建 Docker 世 界 的 基石 。 用 户 基于 镜像 来 运行 目 己 的 容器 。 镜 像 
也 是 Docker 生 命 周 期 中 的 “构建 部分。 镜像 是 基于 联合 (Union) 文件 
系统 的 一 种 层 式 的 结构 ， 由 一 系列 指令 一 步 一 步 构建 出 来 。 例 如 : 

。 添加 一 个 文件 ; 

。 执行 一 个 命令 ; 

。 打开 一 个 端口 。 


也 可 以 把 镜像 当 作 容 器 的 “ 源 代 码 ”。 镜 像 体积 很 小 ， 非 常 “ 便 携 ”， 易 于 

















分 享 、 存 储 和 更 新 。 在 本 书 中 ， 我 们 将 会 学 习 如 何 使 用 己 有 的 镜像 ， 同 
时 也 会 答 试 构建 自己 的 镜像 。 


1.2.3 Registry 


Docker 用 Registry 来 保存 用 户 构建 的 镜像 。Registry 分 为 公共 和 私有 两 
种 。Docker 公 司 运 营 的 公共 Registry 叫 作 Docker Hub。 用 户 可 以 在 Docker 
Hub BI 注册 账号 向 ， 分 享 并 保存 自己 的 镜像 。 


根据 最 新 统计 ，Docker Hub 上 有 超过 10 000 注 册 用 户 构建 和 分 享 的 镜 
像 。 需 要 Nginx Web 服 务 器 ©! 的 Docker 镜 像 ， 或 者 Asterix 开 源 PABX 系 
统 18] 的 镜像 ， 抑 或 是 MySQL 数 据 库 [的 镜像 ? 这 些 镜 像 在 Docker Hub 
上 都 有 ， 而 且 具 有 多 种 版 本 。 


用 户 也 可 以 在 Docker Hub 上 保存 自己 的 私有 镜像 。 例 如 ， 包 含 源 代 码 或 
专利 信息 等 需要 保密 的 镜像 ， 或 者 只 在 团队 或 组 织 内 部 可 见 的 镜像 。 


用 户 甚 至 可 以 架设 自己 的 私有 Registry。 有 具体 方法 会 在 第 4 章 中 讨论 。 私 
有 Registry 可 以 受到 防火 墙 的 保护 ， 将 镜像 保存 在 防火 增 后 面 ， 以 满足 
一 些 组 织 的 特殊 需求 。 








12.4 4 


Docker 可 以 帮 用 户 构 建 和 部 团 容 项 ， 用 户 只 需要 把 自己 的 应 用 程序 或 服 
务 打包 放 进 容器 即 可 。 我 们 刚刚 提 到 ， 容 器 是 基于 镜像 局 动 起 来 的 ， 容 
器 中 可 以 运行 一 个 或 多 个 进程 。 我 们 可 以 认为 ， 镜 像 是 Docker 生 命 周 期 
中 的 构建 或 打包 阶段 ， 而 容 露 则 是 局 动 或 执行 阶段 。 


总 结 起 来 ，Docker 容 器 就 是 : 


。 一 个 镜像 格式 ; 
。 一 系列 标准 的 操作 ; 
。 一 个 执行 环境 。 


Docker 借 鉴 了 标准 集装箱 的 概念 。 标 准 集装箱 将 货物 运往 世界 各 地 ， 
Docker 将 这 个 模型 运用 到 上 自己 的 设计 哲学 中 ， 唯 一 不 同 的 是 : 集装箱 运 
输 货 物 ， 而 Docker 运 输 软 件 。 














每 个 容 絮 都 包含 一 个 软件 镜像 ， 也 就 是 容器 的 “货物 ”， 而 且 与 真正 的 货 
物 一 样 ， 容 器 里 的 软件 镜像 可 以 进行 一 些 操 作 。 例 如 ， 镜 像 可 以 被 创 
建 、 局 动 、 关 闭 、 重 局 以 及 销毁 。 


和 和 集 奢 箱 一 样 ，Docker 在 执行 上 述 操 作 时 ， 并 不 关心 容 需 中 到 展 塞 进 了 
什么 ， 它 不 管 里 面 是 web 服务 器 ， 还 是 数据 库 ， 或 者 是 应 用 程序 服务 器 
什么 的 。 所 有 容器 都 按照 相同 的 方式 将 内 容 “ 装 载 ?进去 。 


Docker 也 不 关心 用 户 要 把 容器 运 到 何方 : 用 户 可 以 在 自己 的 笔记 本 中 构 
建 容器 ， 上 传 到 Registrry， 然 后 下 载 到 一 个 物理 的 或 者 虚拟 的 服务 器 来 
测试 ， 再 把 容器 部 署 到 Amazon EC2 主 机 的 集群 中 去 。 像 标准 集装箱 一 
KF, Docker as JEB, WAS, ATAR, FFAS SHA. 


使 用 Docker， 可 以 快速 构建 一 个 应 用 程序 服务 器 、 一 个 消息 总 线 、 一 套 
实用 工具 、 一 个 持续 集成 (continuous integration, CI) 测试 环境 或 者 任 
意 一 种 应 用 程序 、 服 务 或 工具 。 可 以 在 本 地 构建 一 个 完整 的 测试 环境 ， 
也 可 以 为 生产 或 开发 快速 复制 一 套 复杂 的 应 用 程序 栈 。 可 以 说 ，Docker 
的 应 用 场景 相当 广泛 。 











1.3 ”能 用 Docker 做 什么 


那么 ， 为 什么 要 关注 Docker 或 容器 技术 呢 ? 前 面 已 经 简单 地 讨论 了 容 髓 
提供 的 隔离 性 ， 结 论 是 ， 容 右 可 以 为 各 种 测试 提供 很 好 的 沙 盒 环 十 。 并 
有 旦 ， 容 器 本 和 映 束 具有 “标准 性 ”的 特征 ， 非 常 适合 为 服务 创建 构建 块 。 
Docker 的 一 些 应 用 场景 如 下 。 





加 速 本 地 开 友 和 构建 流程 ， 使 其 更 加 蜗 效 、 更 加 轻 量化 。 本 地 开 友 
人 员 可 以 构建 、 运 行 并 分 享 Docker 容 器 。 容 器 可 以 在 开发 环境 中 构 
建 ， 然 后 轻松 地 提交 到 测试 环境 中 ， 并 最 终 进 入 生产 环境 。 

能 够 让 独立 服务 或 应 用 程序 在 不 同 的 环境 中 ， 得 到 相同 的 运行 结 

TE IE Ae ellie rea en 


用 Docker 创 建 隔离 的 环境 来 进行 测试 。 例 如 ， 用 Jenkins CI 这 样 的 持 
续集 成 工具 启动 一 个 用 于 测试 的 容器 。 

Docker 可 以 让 开发 者 先 在 本 机 上 构建 一 个 复杂 的 程序 或 架构 来 进行 
测试 ， 而 不 是 一 开始 就 在 生产 环境 部 署 、 测 试 。 

构建 一 个 多 用 户 的 平台 即 服 务 (PaaS) 基础 设施 。 

为 开发 、 测 试 提供 一 个 轻 量 级 的 独立 沙 盒 环境 ， 或 者 将 独立 的 沙 盒 
环境 用 于 技术 教学 ， 如 Unix shell 的 使 用 、 编 程 语言 教学 。 

提供 软件 即 服务 (Saas) 应 用 程序 。 

高 性 能 、 超 大 规模 的 宿主 机 部 署 。 


den he Ae 


docker-community/ 。 


详情 请 查看 http://blog.docker.com/2013/07/docker-projects-from-the- 


1.4 Docker 与 配置 管理 


从 Docker 项 目 公 布 以 来 ， 己 经 有 大 量 关 于 “哪些 配置 管理 工具 适用 于 
Docker” 的 讨论 ， 如 Puppet、Chef。Docker 包 含 一 套 镜像 构建 和 镜像 管理 
的 解决 方案 。 现 代 配 置 管理 工具 的 原动力 之 一 就 是 “黄金 镜像 ”模型 [8 

。 然 而 ， 使 用 黄金 镜像 的 结果 就 是 充斥 了 大 量 、 无 管理 状态 的 镜像 :已 
部 署 或 未 部 署 的 复杂 镜像 数量 庞大 ， 版 本 状态 混乱 不 堪 。 随 独 镜 像 的 使 
用 ， 不 确定 性 飞速 增长 ， 环 境 中 的 混乱 程度 急剧 膨胀 。 镜 像 本 身 也 变 得 
越 来 越 笨 重 。 最 终 不 得 不 手动 修正 镜像 中 不 符合 设计 和 难以 管理 的 配置 
层 ， 因 为 底层 的 镜像 缺乏 适当 的 灵活 性 。 


与 传统 的 镜像 模型 相 比 ，Docker 束 显得 轻 量 多 了 : 镜像 是 分 层 的 ， 可 以 
对 其 进行 迅速 的 迭代 。 数 据 表 明 ，Docker 的 这 些 特性 确实 能 够 减轻 许多 
传统 镜像 管理 中 的 麻烦 。 现 在 还 难以 确定 Docker 是 否 可 以 完全 取代 配置 
管理 工具 ， 但 是 从 蝴 等 性 和 内 省 性 来 看 ，Docker 确 实 能 够 获得 非常 好 的 
效果 。Docker 本 喘 还 是 需要 在 主机 上 进行 安装 、 管 理 和 部 署 的 。 而 主机 
也 需要 被 管理 起 来 。 这 样 ，Docker 容 吉 需 要 编 配 、 管 理 和 部 署 ， 也 经 各 
s 而 这 些 恰 恰 是 配置 管理 工具 所 擅长 


Docker 一 个 显著 的 特点 就 是 ， 对 不 同 的 贸 主 机 、 应 用 程序 和 服务 ， 可 能 
会 表现 出 不 同 的 特性 与 架构 (或 者 确切 地 说 ，Docker 本 就 是 被 设计 成 这 
样 的 ) : Docker 可 以 是 短 生命 周期 的 ， 但 也 可 以 用 于 恒定 的 环境 ， 可 以 
用 一 次 即 销毁 ， 也 可 以 提供 持久 的 服务 。 这 些 行为 并 不 会 给 Docker 增 加 
复杂 性 ， 也 不 会 和 配置 管理 工具 的 需求 产生 重合 。 基 于 这 些 行 为 ， 我 们 
基本 不 需要 担心 管理 状态 的 持久 性 ， 也 不 必 太 担心 状态 的 复杂 性 ， 因 为 
容器 的 生命 周期 往往 比较 短 ， 而 且 重 建 容 器 状态 的 代价 通 篆 也 比 传统 的 
状态 修复 要 低 。 


然而 ， 并 非 所 有 的 基础 设施 都 具备 这 样 的 “特性 ”>。 在 未 来 的 一 段 时 间 
内 ，Docker 这 种 理想 化 的 工作 负载 可 能 会 与 传统 的 基础 设备 部 署 共 存 一 
段 时 间 。 长 期 运行 的 主机 和 物理 设备 上 运行 的 主机 在 很 多 组 织 中 仍 具 有 
不 可 蔡 代 的 地 位 。 由 于 多 样 化 的 管理 需求 ， 以 及 管理 Docker 自 身 的 需 
求 ， 在 绝 大 多 数组 织 中 ，Docker 和 配置 管理 工具 可 能 都 需要 部 署 。 





















































1.5 ”Docker 的 技术 组 件 





Docker 可 以 运行 于 任何 安装 了 现代 Linux 内 核 的 x64 主 机 上 。 推 荐 的 内 核 
版 本 是 3.8 或 者 更 高 。Docker 的 开销 比较 低 ， 可 以 用 于 服务 器 、 台 式 机 或 
笔记 本 。 它 包括 以 下 几 个 部 分 。 


一 个 原生 的 Linux 容 器 格式 ，Docker 中 称 为 1ibcontainer 。 

Linxu 内 核 的 命名 空间 (namespace) 6] ， 用 于 隔离 文件 系统 、 进 程 
和 网 络 。 

文件 系统 隔离 . 每 个 容器 都 有 自己 的 root 文 件 系 统 。 

进程 隔离 : 每 个 容 右 都 运行 在 自己 的 进程 环境 中 。 

网 络 隔离 : 容器 间 的 虚拟 网 络 接口 和 耳 地 址 都 是 分 开 的 。 

资源 隔离 和 分 组 : 使 用 cgroups H! 〈 即 control group，Linux 的 内 核 
特性 之 一 ) 将 CPU 和 内 存 之 类 的 资源 独立 分 配给 每 个 Docker 容 右 。 
写 时 复制 4 : 文件 系统 都 是 通过 写 时 复制 创建 的 ， 这 就 意味 着 文 
件 系统 是 分 层 的 、 快 速 的 ， 而 且 占 用 的 磁盘 空间 更 小 。 

日 志 : 容器 产生 的 STDOUT 、STDERR 和 STDIN 这 些 IO 流 都 会 被 收集 
并 记 入 日 志 ， 用 来 进行 日 志 分 析 和 故障 排 错 。 

ZH shell: 用 户 可 以 创建 一 个 伪 tty 终 端 ， 将 其 连接 到 STDIN ， 为 
容器 提供 一 个 交互 式 的 shell。 

















16 本 书 的 内 容 


在 本 书 中 ， 我 们 将 讲述 如 何 安 装 、 部 署 、 管 理 Docker， 并 对 其 进行 功能 
扩展 。 我 们 首先 会 介绍 Docker 的 基础 知识 及 其 组 件 ， 然 后 用 Docker 构 建 
容器 和 服务 ， 来 完成 各 种 的 任务 。 


我 们 还 会 体验 从 测试 到 生产 环境 的 完整 开发 生命 周期 ， 并 会 探讨 Docker 
适用 于 哪些 领域 ，Docker 是 如 何 让 我 们 的 生活 更 加 简单 的 。 我 们 使 用 
Docker 为 新 项 目 构建 测 斌 环境， 演示 如 何 将 Docker 集 成 到 持续 集成 工作 
流 ， 如 何 构 建 程序 应 用 的 服务 和 平台 。 最 后 ， 我 们 会 同 大 家 介绍 如 何 使 
用 Docker 的 API， 以 及 如 何 对 Docker 进 行 扩展 。 


我 们 将 会 教 大 家 如 何 : 
e 安装 Docker; 
e 尝试 使 用 Docker 容 器 ; 
。 构建 Docker 镜 像 ; 
。 管理 并 共享 Docker 镜 像 ; 
。 运行 、 管 理 更 复杂 的 Docker 容 器 和 Docker 容 器 栈 ; 
。 将 Docker 容 器 的 部 署 纳入 测试 流程 ; 
© 构建 多 容器 的 应 用 程序 和 环境 ; 
e 介绍 使 用 Docker Compose、Consul 和 Swarm 进行 Docker 编 配 的 基 


础 ; 
探索 Docker 的 API:; 
。 获取 帮助 文档 并 扩展 Docker。 


推 存 读者 按 顺 序 阅读 本 书 。 每 一 章 都 会 以 前 面 章节 的 Docker 知 识 为 基 
础 ， 并 引入 新 的 特性 和 功能 。 读 完 本 书后 ， 读 者 应 该 会 对 如 何 使 用 
Docker 构 建 标 准 容 器 ， 部 普 应 用 程序 、 测 斌 环境 和 独立 的 服务 有 比较 深 
刻 的 理解 。 





1.7 Docker 资源 


Docker JER (http://www.docker.com/ ) 。 

Docker Hub Chttp://hub.docker.com ) 。 

Docker 官 方 博客 Chttp://blog.docker.com/ ) 。 

Docker 官 方 文档 (http://docs.docker.com/ ) 。 

Docker 快 速 入 门 指南 (http://www.docker.com/tryit/ ) 。 

Docker 的 GitHub 源 代码 (https://github.com/docker/docker ) 。 

Docker Forge Chttps://github.com/dockerforge ) : 收集 了 各 种 Docker 

工具 、 组 件 和 服务 。 

e Docker 邮 件 列 表 Chttps://groups.google.com/forum/#!forum/docker- 
user ) 。 

e DockerfJIRC#E (irc.freenode.net) 。 

e Docker 的 Twitter 主页 Chttp://twitter.com/docker ) 。 

e Docker 的 StackOverflow 问 答 主 页 (http://stackoverflow.com/search? 
q=docker ) 。 

e Docker 官 网 (http://www.docker.com/ ) 。 


除 这 些 资源 之 外 ， 在 第 9 章 中 会 详细 介绍 去 哪里 以 及 如 何 获 得 Docker 的 
帮助 信息 。 
1 Aue 





[1] — [http://martinfowler.com/articles/microservices.html] 
(http://martinfowler.com/articles/microservices.html) 


[2] — [http://docs.docker.com/reference/api/docker_remote_api/] 
(http://docs.docker.com/reference/api/docker_remote_api/) 


[3] — [http://hub.docker.com/](http://hub.docker.com/) 


[4] — [https://hub.docker.com/account/signup/] 
(https://hub.docker.com/account/signup/) 


[5] — [https://hub.docker.com/search?q=nginx] 
(https://hub.docker.com/search?q=nginx) 


[6] [https://hub.docker.com/search?q=Asterisk] 
(https://hub.docker.com/search?q=Asterisk) 


[7] [https://hub.docker.com/search?q=mysaql | 
(https://hub.docker.com/search?q=mysql) 


[8] 
[https://web.archive.org/web/20090207105003/http://madstop.com/2009/02/0. 
image-or-foil-ball] 
(https://web.archive.org/web/20090207105003/http://madstop.com/2009/02/0. 
image-or-foil-ball) 


[9] [http://lwn.net/Articles/531114/](http://lwn.net/Articles/531114/) 


[10]  [http://en.wikipedia.org/wiki/Cgroups] 
(http://en.wikipedia.org/wiki/Cgroups) 


[11]  [http://en.wikipedia.org/wiki/Copy-on-write] 
(http://en.wikipedia.org/wiki/Copy-on-write) 





Docker 的 安装 既 快 又 简单 。 目 前 ，Docker 已 经 支持 非常 多 的 Linux 平 
台 ， 包 括 Ubuntu 和 RHEL (Red Hat Enterprise Linux, Red Hat 企 业 版 
Linux) 。 除 此 之 外 ，Docker 还 支持 Debian、CentOS、Fedora、Oracle 





Linux 等 衍生 系统 和 相关 的 发 行 版 。 如 果 使 用 虚拟 环境 ， 甚 至 也 可 以 在 
OS X 和 Microsoft Windows 中 运行 Docker。 


目前 来 讲 ，Docker 团 队 推 荐 在 Ubuntu、Debian 或 者 RHEEL 系 列 

(CentOS、Fedora 等 ) 宿主 机 中 部 署 Docker， 这 些 发 行 版 中 直接 提供 了 
oe 本 章 将 介绍 如 何在 4 种 各 有 所 长 的 操作 系统 中 安装 
Docker， : 


在 运行 Ubuntu 系统 的 宿主 机 中 安装 Docker; 

在 运行 RHEL 或 其 衍生 的 Linux 发 行 版 的 宿主 机 中 安装 Docker; 
在 OS X 系 统 中 用 Docker Toolbox (1 工具 安装 Docker; 

在 Microsoft Windows 系 统 中 使 用 Docker Toolbox 工 具 安 装 Docker。 





Docker Toolbox 一 个 安装 了 运行 Docker 所 需 一 切 的 组 件 的 集合 。 它 包含 VirtualBox 和 一 个 
极 小 的 虚拟 机 ， 同 时 提供 了 一 个 包装 脚本 (wrapper script) 对 该 虚拟 机 进行 管理 。 该 虚拟 机 运 
行 一 个 守护 进程 ， 并 在 OS X 或 Microsoft Windows 中 提供 一 个 本 地 的 Docker 守 护 进程 。Docker 
的 客户 端 工具 docker 作为 这 些 平台 的 原生 程序 被 安装 ， 并 连接 到 在 Docker Toolbox 虚 拟 机 中 
运行 的 Docker 守 护 进程 。Docker Toolbox #4} Y Boot2Docker. 


Docker 也 可 以 在 很 多 其 他 Linux 发 行 版 中 运行 ， 包 括 Debian、SUSE [4 、 
Arch Linux B! 、CentOS 和 Gentoo |“ 。Docker 也 支持 一 些 云 平台 ， 包 括 
Amazon EC2 l°! 、Rackspace Cloud [6 和 Google Compute Engine !7! 。 





| 可 以 在 Docker 安 装 指南 (https://docs.docker.com/engine/installation/ ) 查 到 完整 的 Docker 
支持 平台 列表 。 

我 们 之 所 以 选择 对 在 这 4 种 环境 下 Docker 的 安装 方法 进行 介绍 ， 主 要 是 
因为 它们 是 Docker 社 区 中 最 利用 的 几 种 环境 。 例 如 ， 开 发 人 员 使 用 OS X 


电脑 ， 系 统管 理 员 使 用 Windows 工 作 站 ， 而 测试 、 预 演 (staging) 或 生 
产 环境 运行 的 是 Docker 原 生 文 持 的 其 他 平台 。 这 样 ， 开 发 人 员 和 系统 管 
理 员 就 可 以 在 自己 的 OS X 或 者 Windows 工 作 站 中 用 Docker Toolbox 构 建 
Docker 容 器 ， 然 后 把 这 些 容器 放 到 运行 其 他 文 持平 台 的 测试 、 预 演 或 者 
生产 环境 中 。 


建议 读者 至 少 使 用 Ubuntu 或 者 RHEL 完 整地 安装 一 遍 Docker， 以 了 解 
Docker 安 装 需 要 哪些 前 提 条 件 ， 也 能 够 了 解 到 底 如 何 安装 Docker。 











ED 和 所 有 安装 过 程 一 样 ， 我 也 推荐 读者 了 解 一 下 如 何 使 用 puppet 8 或 Chef [9 这 样 的 工具 
来 安装 Docker， 而 不 是 纯 手 动 安装 。 例 如 ， 可 以 在 网 上 找到 安装 Docker 的 Puppet 模 块 00] 和 
Chef cookbook HH 。 








2.1 安装 Docker 的 先决 条 件 


和 安装 其 他 软件 一 样 ， 安 装 Docker 也 需要 一 些 基 本 的 前 提 条 件 。Docker 
要 求 的 条 件 具 体 如 下 。 


e 运行 64 位 CPU 构 架 的 计算 机 (目前 只 能 是 x86_64 和 amd64) ， 请 注 


Re m 
局 2 


Docker 日 前 不 支持 32 位 CPU。 


e 运行 Linux 3.8 或 更 高 版 本 内 核 。 一 些 老 版 本 的 2.6.x 或 其 后 的 内 核 也 
能 够 运行 Docker， 但 运行 结果 会 有 很 大 的 不 同 。 而 且 ， 如 果 需 要 整 
老 版 本 内 核 寻 求 帮助 ， 通 常 大 家 会 被 建议 升级 到 更 高 版 本 的 内 核 。 

© 内 核 必 须 支 持 一 种 适合 的 存储 驱动 (storage driver) ， 例 如 : 


O 〇 


(© 


O 


O 〇 


O 


O 〇 


Device Manager [2] ; 

AUFS 13] ; 

vfs [141 , 

btrfs [5] ; 

ZFS (在 Docker 1.7 中 引入 ) ; 

默认 存储 驱动 通常 是 Device Mapper 或 AUFS 。 


© 内 核 必须 支持 并 开启 cgroup HS 和 命名 空间 上 (namespace) 功 
能 。 


2.2 在 Ubuntu 和 了 Debian 中 安装 Docker 
目前 ， 官 方 文 持 在 以 下 版 本 的 Ubuntu 和 Debian 中 安装 Docker: 


Ubuntu Wily 15.10 〈64 位 ) ; 

Ubuntu Vivid 15.04 (64%) ; 

Ubuntu Trusty 14.04 (LTS) 〈64 位 ) ; 
Ubuntu Precise 12.04 (LTS) (64 位 ); 
Ubuntu Raring 13.04 (64 位 ) ; 

Ubuntu Saucy 13.10 〈64 位 ) ; 

Debian 8.0 Jessie (64/72) ; 

Debian 7.7 Wheezy (64 位 ) 。 








E 这 并 不 意味 着 上 面 清 单 之 外 的 Ubuntu (Debian) 版 本 就 不 能 安装 Docker。 只 要 有 适当 
的 内 核 和 Docker 所 必需 的 支持 ， 其 他 版 本 的 Ubuntu 也 是 可 以 安装 Docker 的 ， 只 不 过 这 些 版 本 并 
没有 得 到 官方 支持 ， 因 此 ， 遇 到 的 pug 可 能 无 法 得 到 官方 的 修复 。 


安装 之 前 ， 还 要 先 确 认 一 下 已 经 安装 了 Docker 所 需 的 前 提 条 件 。 我 创建 
了 一 个 要 安装 Docker 的 全 新 Ubuntu 14.04 LTS 64 位 宿主 机 ， 称 之 
为 darknight.example.com 。 


2.2.1 检查 前 提 条 件 


a 运行 Docker 所 需 的 前 提 条 件 并 不 多 ， 下 面 一 一 
列 出 。 


1. AK 


首先 ， 确 认 已 经 安装 了 能 满足 要 求 的 Linux 内 核 。 可 以 通过 uname 命令 
来 检查 内 核 版 本 信息 ， 如 代码 清单 2-1 所 示 。 


代码 清单 2-1 检查 Ubuntu 内 核 的 版 本 
































$ uname -a 
Linux darknight.example.com 3.13.0-43-generic #72-Ubuntu SMP Mon Dec 


8 19:35:06 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux 





可 以 看 到 ， 这 里 安装 的 是 3.13.0 x86_64 版 本 的 内 核 。 这 是 Ubuntu 14.04 
及 更 高 版 本 默认 的 内 核 。 


如 果 使 用 Ubuntu 较 早 的 有 发行 版 ， 可 以 有 一 个 较 早 的 内 核 。 应 该 可 以 轻松 
地 用 apt-get 把 Ubuntu 升级 到 最 新 的 内 核 ， 如 代码 清单 2-2 所 示 。 


代码 清单 2-2 ”在 Ubuntu Precise 中 安装 3.8 内 核 











$ sudo apt-get update 
$ sudo apt-get install linux-headers-3.13.0-43-generic 


linux-image-3.13.0-43-generic linux-headers-3.13.0-43 





本 书 中 的 所 有 操作 都 使 用 sudo 来 获取 所 需 的 root 权限 。 


然后 ， 就 可 以 更 新 Grub 局 动 加 载 器 来 加 载 新 内 核 ， 如 代码 清单 2-3 所 
不 




















代码 清单 2-3 ”更 新 Ubuntu Precise 的 启动 加 载 器 


$ sudo update-grub 


安装 完成 后 需要 重启 宿主 机 来 启用 新 的 3.8 内 核 或 者 更 新 的 内 核 ， 如 代 
码 清单 2-4 所 示 。 

















代码 清单 2-4 ”重启 Ubuntu 窒 主机 


$ sudo reboot 


a 可 以 再 次 使 用 uname -a 来 确认 已 经 运行 了 正确 版 本 的 内 
% 











2. 检查 Device Mapper 


这 里 将 使 用 Device Mapper 作 为 存储 驱动 。 自 2.6.9 版 本 的 Linux 内 核 开 始 
己 经 集成 了 Device Mapper， 并 且 提 供 了 一 个 将 块 设备 映射 到 高 级 虚拟 设 





备 的 方法 。Device Mapper 支 持 “ 自 动 精简 配置 ” (18] (thin-provisioning) 
的 概念 ， 可 以 在 一 种 文件 系统 中 存储 多 台 虚 拟 设 备 〈Docker 镜 像 中 的 
JZ) 。 因 此 ， 用 Device Mapper 作 为 Docker 的 存储 驱动 是 再 合适 不 过 了 。 


任何 Ubuntu 12.04 或 更 高 版 本 的 宿主 机 应 该 都 已 经 安装 了 Device 
Mapper， 可 以 通过 代码 清单 2-5 所 示 的 命令 来 确认 是 否 已 经 安装 。 


代码 清单 2-5 ”检查 Device Mapper 








$ ls -1 /sys/class/misc/device-mapper 
lrwxrwxrwx 1 root root @ Oct 5 18:50 /sys/class/misc/device-mapper 


-> ../../devices/virtual/misc/device-mapper 





也 可 以 在 /proc/devices 文件 中 检查 是 否 有 device-mapper 条 目 ， 如 
代码 清单 2-6 所 示 。 




















代码 清单 2-6 ”在 Ubuntu 的 proc 中 检查 Device Mapper 


$ sudo grep device-mapper /proc/devices 


如 果 没 有 出 现 device-mapper 的 相关 信息 ， 也 可 以 尝试 加 载 dm_mod 模 
块 ， 如 代码 清单 2-7 所 示 。 





代码 清单 2-7 DoR Device Mapper 模 块 


$ sudo modprobe dm mod 


cgroup 和 命名 空间 自 2.6 版 本 开始 已 经 集成 在 Linux 内 核 中 了 。2.6.38 以 后 
的 内 核对 cgroup 和 命名 空间 都 提供 了 良好 的 文 持 ， 基 本 上 也 没有 什么 
bug. 





2.2.2 ”安装 Docker 
现在 “万 事 俱 备 ， 只 欠 东 风 ”。 我 们 将 使 用 Docker 团 队 提 供 的 DEB 软 件 包 


来 安装 Docker。 


首先 ， 要 添加 Docker 的 APT 人 仓库， 如 代码 清单 2-8 所 示 。 其 间 ， 可 能 会 提 
示 我 们 确认 添加 仓库 并 自动 将 仓库 的 GPG 公 钥 添 加 到 宿主 机 中 。 


代码 清单 2-8 添加 Docker 的 ATP 仓 库 























$ sudo sh -c "echo deb https://apt.dockerproject.org/repo ubuntu- 
trusty main > /etc/apt/sources.list.d/docker.list" 





应 该 将 trusty 蔡 换 为 主机 的 Ubuntu 发 行 版 本 。 这 可 以 通过 运 
行 ]sb_release 命令 来 实现 ， 如 代码 清单 2-9 所 示 。 


代码 清单 2-9 检测 curl air ze BR 























$ sudo lsb release --codename | cut -f2 
trusty 





接 下 来 ， 要 添加 Docker 仓 库 的 GPG 密 钥 ， 如 代码 清单 2-10 所 示 。 


代码 清单 2-10 WR Ee, curl 




















$ sudo apt-key adv --keyserver hkp://p86.pool.sks-keyservers .net 
:86 --recv-keys 58118E89F3A912897C07@ADBF76221572C52609D 





之 后 ， 需 要 更 新 APT 源 ， 如 代码 清单 2-11 所 示 。 











代码 清单 2-11 更 新 APT 源 


$ sudo apt-get update 


现在 ， 就 可 以 安装 Docker 软 件 包 了 ， 如 代码 清单 2-12 所 示 。 


代码 清单 2-12 ”在 Ubuntu 中 安装 Docker 






































$ sudo apt-get install docker-engine 


执行 该 命令 后 ， 系 统 会 安装 Docker 软 件 包 以 及 一 些 必 需 的 软件 包 。 


自 Docker 1.8.0 开 始 ，Docker 的 软件 包 名 称 已 经 从 1xc-docker 变 为 docker-engine 。 





安装 完毕 ， 用 docker info 命令 应 该 能 够 确认 Docker 是 否 已 经 正常 安 
装 并 运行 了 ， 如 代码 清单 2-13 所 示 。 


代码 清单 2-13 ”确认 Docker 已 经 安装 在 Ubuntu 中 








$ sudo docker info 
Containers: 6 
Images: 6 





2.2.3 DockerS5UFW 


在 Ubuntu 中 ， 如 果 使 用 UFW (13] ， 即 Uncomplicated Firewall, Ai Aik Fi 
对 其 做 一 点 儿 改 动 才能 让 Docker 工 作 。Docker 使 用 一 个 网 桥 来 管理 容器 
中 的 网 络 。 默 认 情 况 下 ，UFW 会 丢弃 所 有 转发 的 数据 包 ( 也 称 分 

组 ) 。 因 此 ， 需 要 在 UFW 中 局 用 数据 包 的 转发 ， 这 样 才能 让 Docker 正 各 
运行 。 我 们 只 需要 对 /etc/default/ufw 文件 做 一 些 改动 即 可 。 我 们 需 
edie 中 代码 清单 2-14 所 示 的 代码 蔡 换 为 代码 清单 2-15 所 示 的 代 








代码 清单 2-14 ”原始 的 UFW 转 发 策略 


DEFAULT_FORWARD_POLICY="DROP" 


代码 清单 2-15 ”新 的 UFW 转 发 策略 


DEFAULT_FORWARD_POLICY="ACCEPT" 

















保存 修改 内 容 并 重新 加 载 UFW 即 可 ， 如 代码 清单 2-16 所 示 。 


代码 清单 2-16 重新 加 载 UFW 防 火 墙 


$ sudo ufw reload 
































四 











2.3 在 Red Hat 和 Red Hat 系 发 行 版 中 安装 Docker 


在 Red Hat 企 业 版 Linux (或 者 CentOS 或 Fedora) 中 ， 只 有 少数 几 个 版 本 
可 以 安装 Docker， 包 括 : 


e RHEL (和 CentOS) 6 或 以 上 的 版 本 (64 位 ); 

e Fedora 19 或 以 上 的 版 本 (64 位 〉; 

e Oracle Linux 6 和 Oracle Linux 7， 带 有 Unbreakable 企 业内 核发 行 版 
3 (3.8.13) 或 者 更 高 版 本 〈64 位 ) 。 


在 Red Hat 企 业 版 Linux 7 及 更 高 版 本 中 ，Docker 已 经 成 为 系统 自 带 的 软件 包 了 ， 并 且 ， 
只 有 Red Hat 企 业 版 Linux 7 是 Red Hat 官 方 支持 Docker 的 发 行 版 本 。 


2.3.1 检查 前 提 条 件 


在 Red Hat 和 Red Hat 系 列 的 Linux 发 行 版 中 ， 安 装 Docker 所 需 的 前 提 条 件 
也 并 不 多 。 


1. AK 


可 以 使 用 代码 清单 2-17 所 示 的 uname 命令 来 确认 是 否 安装 了 3.8 或 更 高 的 
内 核 版 本 。 

















代码 清单 2-17 检查 Red Hat 或 Fedora 的 内 核 


$ uname -a 
Linux darknight.example.com 3.10.9-200.fc19.x86_ 64 #1 SMP Wed Aug 
21 19:27:58 UTC 2013 x86 64 x86_64 x86 64 GNU/Linux 








目前 所 有 官方 支持 的 Red Hat 和 Red Hat 系 列 平台 ， 应 该 都 安装 了 支持 
Docker 的 内 核 。 


2. 检查 Device Mapper 


我 们 这 里 使 用 Device Mapper 作 为 Docker 的 存储 驱动 ， 为 Docker 提 供 存储 
能 力 。 在 Red Hat 企 业 版 Linux、CentOS 6 或 Fedora 19 及 更 高 版 本 宿主 机 





中 ， 应 该 也 都 安装 了 Device Mapper， 不 过 还 是 需要 确认 一 下 ， 如 代码 清 
单 2-18 所 示 。 





代码 清单 2-18 检查 Device Mapper 





$ ls -1 /sys/class/misc/device-mapper 
lrwxrwxrwx 1 root root 6 Oct 5 18:50 /sys/class/misc/device-mapper 


-> ../../devices/virtual/misc/device-mapper 





同样 ， 也 可 以 在 /proc/devices 文件 中 检查 是 否 有 device-mapper 条 
目 ， 如 代码 清单 2-19 所 示 。 


代码 清单 2-19 在 Red Hat 的 proc 文 件 中 检查 Device Mapper 


$ sudo grep device-mapper /proc/devices 


如 果 没 有 检测 到 Device Mapper， 也 可 以 试 着 安装 device-mapper 软件 
包 ， 如 代码 清单 2-20 所 示 。 


代码 清单 2-20 ”安装 Device Mapper 软 件 包 


$ sudo yum install -y device-mapper 








ES 在 新 版 本 的 Red Hat 系 列 发 行 版 本 中 ， yum 命令 已 经 被 dnf 命令 取代 ， 它 们 的 语法 并 没 
有 什么 变化 。 


安装 完成 后 ， 还 需要 加 载 dm_mod 内 核 模块 ， 如 代码 清单 2-21 所 示 。 


代码 清单 2-21 加载 Device Mapper 模 块 


$ sudo modprobe dm mod 


模块 加 载 完 毕 ， 就 应 该 可 以 找到 /sys/class/misc/device-mapper 条 


HT: 

2.3.2 ”安装 Docker 

在 不 同 版 本 的 Red Hat 中 ， 安 装 过 程 略 有 不 同 。 在 RHEL 6 或 CentOS 6 
中 ， 需 要 先 添 加 EPEL 软 件 包 的 仓库 。 而 Fedora 中 则 不 需要 启用 EPEL 仓 
库 。 在 不 同 的 平台 和 版 本 中 ， 软 件 包 命名 也 有 细微 的 差别 。 

1. 在 RHEL 6 和 CentOS 6 中 安装 Docker 


对 于 Red Hat 企 业 版 Linux 6 和 CentOS 6， 可 以 使 用 代码 清单 2-22 所 示 的 
RPM 软 件 包 来 安装 EPEL 。 


代码 清单 2-22 ”在 RHEL 6 和 CentOS 6 中 安装 EPEL 


$ sudo rpm -Uvh http://download.fedoraproject.org/pub/epel/6/i386 
/epel-release-6-8.noarch.rpm 





安装 完 EPEL 后 ， 就 可 以 安装 Docker 了 ， 如 代码 清单 2-23 所 示 。 


代码 清单 2-23 ”在 RHEL 6 和 CentOS 6 中 安装 Docker 软 件 包 


$ sudo yum -y install docker-io 


2. ÆRHEL 7 中 安装 Docker 
RHEL 7 或 更 高 的 版 本 可 以 按照 代码 清单 2-24 所 示 的 指令 来 安装 Docker。 


代码 清单 2-24 在 RHEL 7 中 安装 Docker 














$ sudo subscription-manager repos --enable=rhel-7-server-extras-rpms 
$ sudo yum install -y docker 





要 想 访 问 Red Hat 的 Docker 软 件 包 和 文档 ， 必 须 是 Red Hat 的 客户 ， 并 拥 


有 RHEL 服 务 器 订阅 授权 (RHEL Server subscription entitlement) 。 
3. 在 Fedora 中 安装 Docker 


在 不 同 版 本 的 Fedora 中 ， 有 几 个 软件 包 的 名 称 有 所 不 同 。 在 Fedora 19 
中 ， 要 安装 docker-io 这 个 软件 包 ， 如 代码 清单 2-25 所 示 。 


Ea 在 新 版 本 的 Red Hat 系 列 发 行 版 本 中 ，yum 命令 已 经 被 dnf 命令 取代 ， 它 们 的 语法 并 没有 
什么 变化 。 








代码 清单 2-25 “在 Fedora 19 中 安装 Docker 


$ sudo yum -y install docker-io 


在 Fedora 20 或 更 高 的 版 本 中 ， 软 件 包 的 名 称 已 经 改 为 docker ， 如 代码 
清单 2-26 所 示 。 











代码 清单 2-26 ”在 Fedora 20 或 更 高 版 本 中 安装 Docker 


$ sudo yum -y install docker 


而 在 Fedora 21 中 ， 软 件 包 的 名 称 又 回 退 到 了 docker-io ， 如 代码 清单 2- 
27 TAR e 

















代码 清单 2-27 在 Fedora 21 上 安装 Docker 


$ sudo yum -y install docker-io 


最 后 ， 到 了 Fedora 22， 软 件 包 的 名 称 则 又 变 回 了 docker 。 同 时 ， 也 是 
22, yum 命令 也 不 被 推荐 使 用 ， 被 dnf 命令 取代 了 ， 如 代码 清 
单 2-28 所 示 。 














代码 清单 2-28 在 Fedora 22 上 安装 Docker 





$ sudo dnf install docker 


























可 以 在 官方 网 站 Chttps://docs.docker.com/engine/installation/oracle/ ) 找到 如 何在 Oracle 
Linux 上 安装 Docker 的 文档 。 


2.3.3 在 Red Hat 系 发 行 版 中 启动 Docker 守 护 进 程 


软件 包 安 装 完成 后 就 可 以 启动 Docker 守 护 进程 了 。 在 RHEL 6 或 CentOS 
6 中 ， 可 以 用 代码 清单 2-29 所 示 的 命令 启动 守护 进程 。 


代码 清单 2-29 在 Red Hat 企业 版 Linux 6 中 启动 Docker 守 护 进 


$ sudo service docker start 


想 要 在 系统 开机 时 目 动 启动 Docker 服 务 ， 还 应 该 执行 代码 清早 2-30 所 示 


的 命令 。 























Hi 





代码 清单 2-30 ”确保 在 RHEL 6 中 开机 启动 Docker 


$ sudo service docker enable 


在 RHEL 7 或 Fedora 中 局 动 Docker 服 务 ， 则 需要 执行 代码 清单 2-31 所 示 的 


人 人 
命令 。 
































Hi 


代码 清单 2-31 在 RHEL 7 中 启动 Docker 守 护 进 


$ sudo systemctl start docker 


县 要 在 系统 开机 自动 启动 Docker 服 务 ， 还 要 执行 代码 清单 2-32 所 示 的 命 


an 
令 




















> 


o 





代码 清单 2-32 ”确保 在 Red Hat 企 业 版 7 中 开机 启动 Docker 





$ sudo systemctl enable docker 


Pn O 


完成 上 述 工 作 后 ， 就 可 以 用 docker info 命令 来 确认 Docker 是 否 已 经 
正确 安装 并 运行 了 ， 如 代码 清单 2-33 所 示 。 








代码 清单 2-33 ”在 Red Hat 系 列 发 行 版 中 检查 Docker 是 否 正 确 安装 


























$ sudo docker info 
Containers: 6 
Images: 6 








也 可 以 直接 从 Docker 官 方 网 站 下 载 RHEL 2° | Centos PH 和 Fedora [22] 用 的 最 新 版 RPM 
包 。 


2.4 ”在 OS X 中 安装 Docker Toolbox 


如 果 使 用 的 是 OS X 系 统 ， 则 可 以 使 用 Docker Toolbox 23] 快速 上 手 
Docker. Docker Toolbox 是 一 个 Docker 组 件 的 集合 ， 还 包括 一 个 极 小 的 
虚拟 机 ， 在 OS X 和 窒 主 机 上 会 安装 与 之 对 应 的 命令 行 工 具 ， 并 提供 了 一 
个 Docker 环 境 。 


Docker Toolbox H r? Y RZF, fi: 


e VirtualBox; 

Docker 客 户 端 ; 

Docker Compose (参见 第 7 章 ) ; 

Kitematic 一 个 Docker 和 Docker Hub 的 GUI 客户 端 ; 
Docker Machine 用 于 帮助 用 户 创 建 Docker 主 机 。 








2.4.1 在 OS X 中 安装 Docker Toolbox 


要 在 OS X 中 安装 Docker Toolbox， 需 要 去 GitHub 下 载 相应 的 安装 程序 ， 
可 以 在 https:Wwww.docker.comy/toolbox 找到 。 


首先 需要 下 载 最 新 版 本 的 Docker Toolbox， 如 代码 清单 2-34 所 示 。 


代码 清和 














2-34 ”下载 Docker Toolbox PKG 文 件 














$ wget https://github.com/docker/toolbox/releases/ 
download/v1.9.1/DockerToolbox-1.9.1.pkg 





运行 下 载 的 安装 文件 ， 并 根据 提示 安装 Docker Toolbox 妈 可 ， 如 图 2-1 所 
外。 


es © Install Docker Toolbox 
Welcome to the Docker Toolbox Installer 


Docker Toolbox for Mac OS X 


This installer guides you through an installation of Docker Toolbox for 
Mac OS X v1.8.0-rc1. 


è Introduction 


The Docker Toolbox installer includes the following: 
Docker Client docker binary 
Docker Machine docker-machine binary 
Docker Compose docker-compose binary 
Kitematic - Desktop GU! for Docker 
Docker Quickstart Terminal app 
By default, these are installed in your /usr/local/bin directory. 


To continue, click Continue. 


Continue 





图 2-1 在 OS X 中 安装 Docker Toolbox 


2.4.2 ”在 OS X 中 有 启动 Docker Toolbox 


现在 ， 已 经 安装 了 Docker Toolbox 及 其 必 必 需 的 前 提 条 件 ， 可 以 开始 对 
其 进行 配置 和 测试 了 。 要 想 对 它 进 行 配置 ， 需 要 运行 Docker Toolbox 心 
用 


我 们 可 以 进入 OS X 系 统 的 Applications 文件 夹 ， 单 击 Docker CLI 图 标 
来 初始 化 并 启动 Docker Toolbox 虚 拟 机 ， 如 图 2-2 所 示 。 


© © 


Docker CH Kitematic (Beta) 





Launchpad 


1OaGsA™ OBHBODIOH U 





图 2-2 在 OS X 中 运行 oot2Docker 











2.4.3 测试 Docker Toolbox 


现在 ， 就 可 以 通过 将 本 机 的 Docker 客 户 端 连接 拟 机 中 运行 的 Docker 
e, 来 测试 Docker Toolbox 安 装 程 序 是 否 正常 运行 ， 如 代码 清音 
2-35 ZN o 








RA 2-35 ”在 OSX 中 测试 Docker Toolbox 








$ docker info 

Containers: 6 

Images: 6 

Driver: aufs 
Root Dir: /mnt/sda1/var/lib/docker/aufs 
Dirs: 6 


Kernel Version: 3.13.3-tinycore64 





Ki T! 我 们 已 经 可 以 在 OS X 特 主机 运行 Docker 了 ! 


2.5 在 Windows 中 安装 Docker Toolbox 


如 果 使 用 的 是 Microsoft Windows 系 统 ， 也 可 以 使 用 Docker Toolbox 工 具 
快速 上 手 Docker。Docker Toolbox 是 一 个 Docker 组 件 的 集合 ， 还 包括 一 

个 极 小 的 虚拟 机 ， 在 Windows 窒 主机 上 安装 了 一 个 支持 命令 行 工具 ， 并 
提供 了 一 个 Docker 环 境 。 


Docker Toolbox H r? Y RZ AF, AFE: 


e VirtualBox; 

e Docker% F Ùi; 

e Docker Compose 〈 人 参见 第 7 章 ) ; 

e Kitematic 一 一 一 个 Docker 和 Docker Hub GUI FP sit; 
@ 


Docker Machine 用 于 帮助 用 户 创 建 Docker 主 机 。 

















也 可 以 通过 使 用 包 管理 器 Chocolatey [来 安装 Docker 客 户 端 。 











2.5.1 在 Windows 中 安装 Docker Toolbox 


要 在 Windows 中 安装 Docker Toolbox， 需 要 从 GitHub 上 下 载 相 应 的 安装 
程序 ， 可 以 在 https://www.docker.com/toolbox 找到 。 


首先 也 需要 下 载 最 新 版 本 的 Docker Toolbox， 如 代码 清单 2-36 所 示 。 


代码 清单 2-36 “下载 Docker Toolbox 的 .exe 文件 














$ wget https://github.com/docker/toolbox/releases/download/v1.9.1/ 
DockerToolbox-1.9.1.exe 





运行 下 载 的 安装 文件 ， 并 根据 提示 安装 Docker Toolbox， 如 图 2-3 所 示 。 


B Setup - Docker Toolbox = 0 


Welcome to the Docker Toolbox 
Setup Wizard 


This will install Docker Toolbox version 1.7.0 on your 
computer. 


It is recommended that you close all other applications before 
continuing. 


Click Next to continue, or Cancel to exit Setup. 





Docker Toolbox installation documentation Cancel 


图 2-3 在 Windows 中 安装 Docker Toolbox 


| 只 能 在 运行 Windows 7.1、8/8.1 或 者 更 新 版 本 上 安装 Docker Toolbox。 





2.5.2” 在 Windows 中 启动 Docker Toolbox 


安装 完 Docker Toolbox 后 ， 就 可 以 从 架 面 或 者 Applications 文 件 夹 运 
行 Docker CLI 应 用 ， 如 图 2-4 所 示 。 


DF m 


l 


Docker CL Oracle VM Kitematic 
VirtualBox (Alpha) 





图 2-4 在 Windows 中 运行 Docker Toolbox 
2.5.3 测试 Docker Toolbox 


现在 ， 就 可 以 尝试 使 用 将 本 机 的 Docker 客 户 端 连接 虚拟 机 中 运行 的 
Docker 守 护 进程 ， 来 测试 Docker Toolbox 是 否 已 经 正常 安装 ， 如 代码 清 
单 2-37 所 示 。 





代码 清单 2-37 在 Windows 中 测试 Docker Toolbox 





$ docker info 
Containers: 6 
Images: 6 
Driver: aufs 
Root Dir: /mnt/sda1/var/lib/docker/aufs 
Dirs: 6 


Kernel Version: 3.13.3-tinycore64 





KT! 现在 ，Windows 宿 主机 也 可 以 运行 Docker 了 ! 


2.6 ”使 用 本 书 的 Docker Toolbox 示 例 


本 书 中 的 一 些 示 例 可 能 会 要 求 通过 网 络 接口 或 网 络 端口 连接 到 某 个 容 
器 ， 通 常 这 个 地 址 是 Docker 服 务 器 的 localhost 或 IP 地 址 。 因 为 Docker 
Toolbox 创 建 了 一 个 本 地 虚拟 机 ， 它 拥有 自己 的 网 络 接 口 和 IP 地 址 ， 所 
以 我 们 需要 连接 的 是 Docker Toolbox 的 地 址 ， 而 不 是 你 的 localhost 或 
你 的 宿主 机 的 耳 地 址 。 


要 想得到 Docker Toolbox 的 IP 地 址 ， 可 以 查看 DOCKER_HOST 环境 变量 的 
值 。 当 在 OS X 或 者 Windows 上 运行 Docker CLI 命 令 AY, Docker 
Toolbox 会 设置 这 个 变量 的 值 。 


此 外 ， 也 可 以 运行 docker-machine ip 命令 来 查看 Docker Toolbox 的 IP 
地 址 ， 如 代码 清单 2-38 所 示 。 














代码 清单 2-38 获取 Docker Toolbox 的 虚拟 机 的 IP 地 址 





$ docker-machine ip 
The VM's Host only interface IP address is: 192.168.59.103 





么 ， 来 看 一 个 要 求 连接 localhost 上 容器 的 示例 ， 比 如 使 用 curl 命 
， 只 需 将 localhost 蔡 换 成 相应 的 IP 地 址 即 可 。 


因此 ， 代 码 清单 2-39 所 示 的 curl 命令 就 变 成 了 代码 清单 2-40 所 示 的 形 


> 


x 


xk 





代码 清单 2-39 初始 curl 命令 


$ curl localhost:49155 


代码 清单 2-40 ”更 新 后 的 curl 命令 


$ curl 192.168.59.103:49155 

















另外 ， 很 重要 的 一 点 是 ， 任 何 使 用 卷 或 带 有 -v 选项 的 docker run 命令 
挂 载 到 Docker 容 器 的 示例 都 不 能 在 Windows 上 工作 。 用 户 无 法 将 宿主 机 
上 的 本 地 目录 挂 接 到 运行 在 Docker Toolbox 虚 拟 机 内 的 Docker 宿 主机 

上 ， 因 为 它们 无 法 共享 文件 系统 。 如 果 要 使 用 任何 带 有 卷 的 示例 ， 如 本 
书 第 5 章 和 第 6 章 中 的 示例 ， 建 议 用 户 在 基于 Linux 的 答 主 机 上 运行 
Docker。 











2.7 Docker 安装 脚本 


还 有 另外 一 种 方法 ， 就 是 使 用 远程 安装 脚本 在 相应 的 答 主 机 上 安装 
Docker。 可 以 从 get.docker.com 网 站 获取 这 个 安装 脚本 。 


该 脚本 目前 只 支持 在 Ubuntu、Fedora、Debian 和 Gentoo 中 安装 Docker， 不 久 的 未 来 可 能 
会 支持 更 多 的 系统 。 











首先 ， 需 要 确认 curl 命令 已 经 安装 ， 如 代码 清单 2-41 所 示 。 


代码 清单 2-41 测试 curl 








$ whereis curl 
curl: /usr/bin/curl /usr/bin/X11/curl /usr/share/man/mani/curl.1.gz 





如 有 需要 ， 可 以 通过 apt-get 命 令 来 安装 curl ， 如 代码 清单 2-42 所 
ZN o 


代码 清单 2-42 ”在 Ubuntu 中 安装 cur1 


$ sudo apt-get -y install curl 


在 Fedora 中 ， 可 以 使 用 yum fir 命令 或 者 较 新 的 dnf 命令 来 安装 curl ， 如 代 
码 清单 2-43 所 示 。 





代码 清单 2-43 ”在 Fedora 中 安装 curl 


$ sudo yum -y install curl 


现在 就 可 以 利用 脚本 安装 Docker 了 ， 如 代码 清单 2-44 所 示 。 
代码 清单 2-44 ”使 用 安装 脚本 来 安装 Docker 











$ curl https://get.docker.com/ | sudo sh 


这 个 脚本 会 自动 安装 Docker 所 需 的 依赖 ， 并 且 检 查 当 前 系统 的 内 核 版 本 
是 否 满足 要 求 ， 以 及 是 否 支持 所 需 的 存储 驱动 ， 最 后 会 安装 Docker 并 启 
动 Docker 守 护 进 程 。 





2.8 二进制 安装 


如 果 不 想 用 任何 基于 软件 包 的 安装 方法 ， 也 可 以 下 载 最 新 的 Docker 可 执 
行程 序 ， 如 代码 清单 2-45 所 示 。 





代码 清单 2-45 ”下载 Docker 可 执行 程序 


$ wget http://get.docker.com/builds/Linux/x86_64/docker-latest.tgz 


不 过 本 人 不 推荐 这 种 安装 方式 ， 因 为 这 降低 了 Docker 软 件 包 的 可 维护 
性 。 使 用 软件 包 更 简单 ， 也 更 易于 管理 ， 特 别 是 在 使 用 自动 化 安装 和 配 
置 管理 工具 的 情况 下 。 








2.9 ”Docker 守护 进程 


安装 完 Docker 后 ， 需 要 确认 Docker 的 守护 进程 是 否 运 行 。Docker 以 Foot 
权限 运行 它 的 守护 进程 ， 来 处 理 普通 用 户 无 法 完成 的 操作 
系统 ) . docker 程序 是 Docker 守 护 进程 的 客户 端 程序 ， 同 样 也 需 

root 身份 运 云 行 。 用 户 可 以 使 用 docker daemon 命令 EN 
程 。 


CES 在 Docker 1.8 之 前 ，Docker 守 护 进 程 是 通过 -d 标志 来 控制 的 ， 而 没有 docker daemon 子 
aA. 





当 Docker 软 件 包 安装 完毕 后 ， 默 认 会 立即 启动 Docker 守 护 进程 。 和 守护 进 
显 监 听 /var /run/docker. sock 这 个 Unix 套 接 字 文件 ， 来 获取 来 自 客 
户 端的 Docker 请 求 。 如 果 系 统 中 存在 名 为 docker 的 用 户 组 的 话 ， 
Docker 则 会 将 该 套 接 字 文件 的 所 有 者 设置 为 该 用 户 组 。 这 样 ， docker 
en a 运行 Docker， 而 无 需 再 使 用 sudo 命令 












































EE 前面 已 经 提 到 ， 尽 管 docker 用 户 组 方便 了 Docker 的 使 用 ， 但 它 毕竟 是 一 个 安全 隐患 。 
因为 docker 用 户 组 对 Docker 具 有 与 root 用 户 相 同 的 权限 ， 所 以 docker 用 户 组 中 应 该 只 能 添 
加 那些 确实 需要 使 用 Docker 的 用 户 和 程序 。 








2.9.1 配置 Docker 和 守护 进程 


可 以 用 -H 标志 调整 守护 进程 绑 定 监听 接口 的 
Fitz 


可 以 使 用 - H 标志 旨 定 不 同 的 网 络 接 口 和 端口 配置 。 例 如 ， 要 想 绑 定 到 
网 络 接 口 ， 命 命令 如 代码 清单 2- 46 上 所 示 。 


代码 清单 2-46 ”修改 Docker 守 护 进程 的 网 络 


$ sudo docker daemon -H tcp://0.0.0.0:2375 








这 条 命令 会 将 Docker 守 护 进程 绑 定 到 宿 3 a 的 所 有 网 络 接口 。Docker 
客户 端 不 会 目 动 监测 到 网 络 的 变化 ， 过 -H 选项 来 指定 服务 器 的 


地 址 。 例 如 ， 如 果 把 守护 进程 端口 改 成 4268 ， 那 么 运行 客户 端 时 就 必 
须 指定 docker -H :4266 。 如 果 不 想 每 次 运行 客户 并 时 都 加 上 -H 标 
志 ， 可 以 通过 设置 DOCKER_HOST 环境 变量 来 省 略 此 步骤 ， 如 代码 清单 2- 
47 上 所 示 。 

















代码 清单 2-47 ”使 用 DOCKER_HOST 环境 变量 








$ export DOCKER_HOST="tcp://0.0.0.0:2375" 











ESB 默认 情况 下 ，Docker 的 客户 端 -服务 器 通信 是 不 经 认证 的 。 这 就 意味 着 ， 如 果 把 Docker 
绑 定 到 对 外 公开 的 网 络 接 吕 上， 那么 任何 人 都 可 以 连接 到 该 Docker 守 护 进 程 。Docker 0.9 及 更 
高 版 本 提供 了 TLS 认 证 。 在 本 书 第 8 章 介 绍 Docker API 时 读者 会 详细 了 解 如 何 启用 TLS 认 证 。 


也 能 通过 -H 标志 指定 一 个 Unix 套 接 字 路 径 ， 例 如 ， 指 冠 
unix://home/docker/ docker.socket ， 如 代码 清单 2-48 所 示 。 










































































代码 清单 2-48 将 Docker 守 护 进程 绑 定 到 非 默认 套 接 字 


$ sudo docker daemon -H unix://home/docker/docker.sock 


当然 ， 也 可 以 同时 指定 多 个 绑 定 地 址 ， 如 代码 清单 2-49 所 示 。 


代码 清单 2-49 ”将 Docker 守 护 进程 绑 定 到 多 个 地 址 

















$ sudo docker daemon -H tcp://0.0.0.0:2375 -H unix://home/docker/ 
docker .sock 


























AD 如 果 你 的 Docker 运 行 在 代理 或 者 公司 防火 墙 之 后 ， 也 可 以 使 用 HTTPS_PROXY 、HTTP_ 
PROXY 和 NO_PROXY 选项 来 控制 守护 进程 如 何 连 接 。 


还 可 以 使 用 -D 标志 来 输出 Docker 守 护 进程 的 更 详细 的 信息 ， 如 代码 清 
单 2-50 所 示 。 


























代码 清单 2-50 ”开启 Docker 守 护 进程 的 调试 模式 


$ sudo docker daemon -D 





pO 


要 想 让 这 些 改动 永久 生效 ， 需 要 编辑 启动 配置 项 。 在 Ubuntu 中 ， 需 要 编 
辑 /etc /default/docker 文件 ， 并 修改 DOCKER_OPTS 变量 。 


在 Fedora 和 Red Hat 发 布 版 本 中 ， 则 需要 编 

辑 /usr/1ib/systemd/system/ docker. service 文件 ， 并 修改 其 中 
的 ExecStart 配置 项 。 或 者 在 之 后 的 版 本 中 编辑 /etc/ 
sysconfig/docker 文件 。 























这 和 是 在 其 他 平台 中 ， 可 以 通过 适当 的 init 系统 来 管理 和 更 新 Docker 守 护 进程 的 启动 配置 。 
2.9.2 ”检查 Docker 和 守护 进程 是 否 正 在 运行 
在 Ubuntu 中 ， 如 果 Docker 是 通过 软件 包 安 装 的 话 ， 可 以 运行 Upstart 的 


status 命 命令 来 检查 Docker 守 护 进 程 是 否 正 在 运行 ， 如 代码 清单 2-51 所 
示 。 























代码 清单 2-51 检查 Docker 守 护 进程 的 状态 








$ sudo status docker 
docker start/running, process 18147 





此 外 ， 还 可 以 用 Upstart 的 start 和 stop 命令 来 启动 和 停止 Docker 守 护 
进程 ， 如 代码 清单 2-52 所 示 。 


























代码 清单 2-52 ”用 Upstart 启 动 和 停止 Docker 守 护 进程 














$ sudo stop docker 
docker stop/waiting 
$ sudo start docker 


docker start/running, process 18192 





在 Red Hat 和 Fedora 中 ， 只 需要 用 service 命令 就 可 以 完成 同样 的 工作 ， 
如 代码 清单 2-53 所 示 。 





代码 清单 2-53 ”在 Red Hat 和 Fedora 中 局 动 和 停止 Docker 





$ sudo service docker stop 
Redirecting to /bin/systemctl stop docker.service 
$ sudo service docker start 


Redirecting to /bin/systemctl start docker.service 





如 果 守 护 进程 没有 运行 ， 执 行 docker 客户 端 命令 时 就 会 出 现 类 似 代码 
清单 2-54 所 示 的 错误 。 








代码 清单 2-54 ” ”Docker 守护 进 程 没 有 运行 的 错误 








2014/05/18 20:08:32 Cannot connect to the Docker daemon. Is 'docker -d 
running on this host? 








EEJ Docker 0.4.0 版 本 以 前 ，docker 客户 端 命令 有 “独立 模式 ”(stand-alone) ， 在 “独立 模 






































式 "下 ， 客户 端 不 需要 运行 Docker 守 护 进 程 就 可 以 独立 运行 。 不 过 现在 这 种 模式 已 经 被 废弃 


o 





2.10 “升级 Docker 


Docker 安 装 之 后 ， 也 可 以 很 容易 地 对 其 进行 升级 。 如 果 是 通过 类 似 apt- 
get 或 yum 这 样 的 原生 软件 包 安 装 的 Docker， 也 可 以 用 同样 的 方法 对 
Docker 进 行 升级 。 


例如 ， 可 以 运行 apt-get update 命令 ， 然 后 安装 新 版 本 的 Docker。 我 
们 使 用 apt-get install 命令 来 升级 Docker， 这 是 因为 docker- 
engine ( 即 之 前 的 lxc-docker ) 包 一 般 都 是 固定 的 ， 如 代码 清单 2-55 
BAAR o 





代码 清单 2-55 “升级 Docker 





$ sudo apt-get update 
$ sudo apt-get install docker-engine 





2.11 Docker 用 户 界 面 


Docker 安 装 之 后 ， 也 可 以 用 图 形 用 户 界 面 来 进行 管理 。 目 前 ， 有 一 些 正 
在 开发 中 的 Docker 用 户 界 面 和 和 Web 控制 台 ， 它 们 都 处 于 不 同 的 开发 阶 
段 ， 具 体 如 下 。 


e Shipyard 5I; Shipyard 提 供 了 通过 管理 界面 来 管理 各 种 Docker 资 源 
(包括 容器 、 镜 像 、 窒 主机 等 的 功能 。Shipyard 是 开源 的 ， 源 代 

码 可 以 在 [https://github.com/ehazlett/ shipyard] 
(https://github.com/ehazlett/ shipyard) 获 得 。 

e DockerUI [26] : DockerUI 是 一 个 可 以 与 Docker Remote API 交 互 的 
Web 界 面 。DockerUI 是 基于 AngularJS 框 架 ， 采 用 JavaScript 编 写 
Hy. 

e Kitematic: Kitematic 是 一 个 OS X 和 Windows 下 的 GUI 界面 工具 ， 用 
于 帮助 我 们 在 本 地 运行 Docker 以 及 与 Docker Hub 进 行 交 互 。 它 是 由 
Docker 公 司 免 费 发 布 的 产品 ， 它 也 被 包含 在 Docker Toolbox 之 中 。 
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在 本 章 向 大 家 介绍 了 在 各 种 平台 上 安装 Docker 的 方法 ， 还 介绍 了 如 何 管 
理 Docker 和 守护 进程 。 


在 下 一 章 中 ， 我 们 将 开始 正式 使 用 Docker。 我 们 将 从 容器 的 基础 知识 开 
台 ， 介 绍 基 本 的 Docker 操 作 。 如 果 读 者 已 经 安装 好 了 Docker， 并 做 好 了 
准备 ， 那 么 请 翻 到 第 3 章 吧 。 
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在 上 一 章 中 ， 我 们 学 习 了 如 何 安 装 Docker， 如 何 确保 Docker 守 护 进程 正 
稼 运行。 在 本 章 中 ， 我 们 将 迈 出 使 用 Docker 的 第 一 步 ， 学 习 第 一 个 
Docker 容 器 。 本 章 还 会 介绍 如 何 与 Docker 进 行 交 互 的 基本 知识 。 


3.1 确保 Docker 己 经 就 绪 


首先 ， 我 们 会 查看 Docker 是 否 能 正常 工作 ， 
作 流 : 创建 并 管理 容器 。 我 们 将 浏览 容器 的 典型 生命 周期 : 从 创建 、 
理 到 停止 ， 直 到 最 终 删 除 。 


第 一 步 ， 查 看 docker 程序 是 否 存在 ， 
ZN o 








能 是 否 正常 ， 如 代码 清单 3-1 所 


过 





代码 清单 3-1 查看 docker 程序 是 否 正 常 工作 





$ sudo docker info 

Containers: 1 

Images: 8 

Storage Driver: aufs 
Root Dir: /var/lib/docker/aufs 
Backing Filesystem: extfs 
Dirs: 10 

Execution Driver: native-@.2 


Kernel Version: 3.13.0-43-generic 

Operating System: Ubuntu 14.04.2 LTS 

CPUs: 1 

Total Memory: 994 MiB 

Name: riemanna 

ID: DOIT:XN5S:WNYP:WP7Q: BEUP: EBBL: KGIX: GO3V:NDR7: YW6E : VFXT : FXHM 
WARNING: No swap limit support 





在 这 里 我 们 调用 了 docker 可 执行 程序 的 info 命令 ， 该 命令 会 返回 所 有 
容器 和 镜像 (镜像 即 是 Docker 用 来 构建 容器 的 “构建 块 ") 的 数量 、 
Docker 使 用 的 执行 驱动 和 存储 驱动 (execution and storage driver) ， 以 
及 Docker 的 基本 配置 。 


在 前 面 几 章 已 经 介绍 过 ，Docker 是 基于 客户 端 -服务 器 构架 的 。 它 有 一 
个 docker 程序 ， BEA 作为 客户 端 ， 也 可 以 作为 服务 器 端 。 作 为 客户 端 
时 ，docker 程序 同 Docker 守 护 进程 发 送 请 求 〈 如 请 求 返 回 守护 进程 自 
身 的 信息 ) ， 然 后 再 对 返回 的 请 求 结 果 进 行 处 理 。 





32 yh Tae 
现在 ， 让 我 们 尝试 启动 第 一 个 Docker 容 器 。 我 们 可 以 使 用 docker run 
命令 创建 容器 ， 如 代码 清单 3-2 所 示 。docker run 命令 提供 了 Docker 容 
器 的 创建 到 启动 的 功能 ， 在 本 书 中 我 们 也 会 使 用 该 命令 来 创建 新 容器 。 


代码 清单 3-2 ”运行 我 们 的 第 一 个 容器 























$ sudo docker run -i -t ubuntu /bin/bash 

Unable to find image ‘ubuntu' locally 

ubuntu: latest: The image you are pulling has been verified 
511136ea3c5a: Pull complete 

d497ad3926c8: Pull complete 

ccb62158e970: Pull complete 

e791be0477F2: Pull complete 


3680052c@f5c: Pull complete 

22093c35d77b: Pull complete 

5506de2b643b: Pull complete 

Status: Downloaded newer image for ubuntu:latest 
root@fcd78e1a3569: /# 








BES ayc O 列 出 了 完整 的 Docker 命 令 列表 ， 也 可 以 使 用 docker help 获取 这 些 命令 。 
此 外 ， 还 可 以 使 用 Docker 的 man 页 〈 即 执行 man docker-run ) 。 


代码 清单 3-3 所 示 的 命令 的 输出 结果 非常 丰富 ， 下 面 来 逐条 解析 。 


代码 清单 3-3 docker run 命令 




















$ sudo docker run -i -t ubuntu /bin/bash 


首先 ， 我 们 告诉 Docker 执 行 docker run 命令 ， 并 指定 了 -i 和 -t 两 个 
命令 行 参数 。-i 标志 保证 容器 中 STDIN 是 开启 的 ， 尽 管 我 们 并 没有 附 
着 到 容器 中 。 持 和 久 的 标准 输入 是 交互 式 shel 的 “半边 天 ”，-t 标志 则 是 另 
外 “半边 天 ”， 它 告诉 Docker 为 要 创建 的 容器 分 配 一 个 伪 tty 终 端 。 这 样 ， 
新 创建 的 容器 才能 提供 一 个 交互 式 shell。 若 要 在 命令 行 下 创建 一 个 我 们 








能 与 之 进行 交互 的 容器 ， 而 不 是 一 个 运行 后 全 服务 的 容器 ， 则 这 两 个 参 


数 已 经 是 最 基本 的 参数 了 。 


ESS eroaa 2) EAH T docker run 命令 的 所 有 标志 ， 此 外 还 可 以 用 命令 docker help 
run 查看 这 些 标志 。 或 者 ， 也 可 以 用 Docker 的 man 页 (也 就 是 执行 man docker-run 命令 ) 。 


接 下 来 ， 我 们 告诉 Docker 基 于 什么 镜像 来 创建 容器 ， 示 例 中 使 用 的 
是 ubuntu 镜像 。ubuntu 镜像 是 一 个 常备 镜像 ， 也 可 以 称 为 “ 基 

础 ”(base) 镜像 ， 它 由 Docker 公 司 提供 ， 保 存在 Docker Hub |! Registry 
上 。 可 以 以 ubuntu 基础 镜像 (以 及 类 似 的 fedora 、debian 、centos 
等 镜像 ) 为 基础 ， 在 选择 的 操作 系统 上 构建 自己 的 镜像 。 到 目前 为 止 ， 
我 们 基于 此 基础 镜像 启动 了 一 个 容器 ， 并 且 没 有 对 容器 增加 任何 东西 。 


我 们 将 在 第 4 章 对 镜像 做 更 详细 的 介绍 ， 包 括 如 何 构建 我 们 自己 的 镜像 。 


那么 ， 在 这 一 切 的 背后 又 都 发 生 了 什么 呢 ? 首先 Docker 会 检查 本 地 是 否 
存在 ubuntu 镜像 ， 如 果 本 地 还 没有 该 镜像 的 话 ， 那 么 Docker 就 会 连接 
官方 维护 的 Docker Hub Registry， 查 看 Docker Hub 中 是 人 否 有 该 镜像 。 
Docker 一 旦 找到 该 镜像 ， 就 会 下 载 该 镜像 并 将 其 保存 到 本 地 宿主 机 中 。 


随后 ，Docker 在 文件 系统 内 部 用 这 个 镜像 创建 了 一 个 新 容器 。 该 容器 拥 
有 自己 的 网 络 、IP 地 址 ， 以 及 一 个 用 来 和 宿主 机 进行 通信 的 桥接 网 络 接 
口 。 最 后 ， 我 们 告诉 Docker 在 新 容器 中 要 运行 什么 命令 ， 在 本 例 中 我 们 
在 容器 中 运行 /bin/bash 命令 启动 了 一 个 Bash shell. 
























































当 容 砷 创建 完毕 之 后 ，Docker 束 会 执行 容器 中 的 /bin/bash 命令 ， 这 时 
就 可 以 看 到 容器 内 的 shell 了， 就 像 代码 清单 3-4 所 示 。 


代码 清单 3-4 ”第 一 个 容器 的 shell 


root@f7cbdac22a02:/# 





3.3 (HS TS A ae 


现在 ， 我 们 已 经 以 root 用 户 登 录 到 了 新 容器 中 ， 容 器 的 ID 
f7cbdac22a62 ， 乍 看 起 来 有 些 令 人 迷惑 的 字符 串 `“。 这 是 一 个 完整 的 
Ubuntu 系统 ， 可 以 用 它 来 做 任何 事情 。 下 面 就 来 研究 一 下 这 个 容器 。 首 
先 ， 我 们 可 以 获取 该 容器 的 主机 名 ， 如 代码 清单 3-5 所 示 。 


代码 清单 3-5 检查 容器 的 主机 名 























root@f7cbdac22a02:/# hostname 
f7cbdac22a02 





可 以 看 到 ， 容 器 的 主机 名 就 是 该 容器 的 ID。 再 来 看 看 /etc/hosts X 
件 ， 如 代码 清单 3-6 所 示 。 





代码 清单 3-6 检查 容器 的 /etc/hosts 文 件 








root@f7cbdac22a02:/# cat /etc/hosts 
172.17.0.4 f7cbdac22ae2 

127.0.0.1 localhost 

::1 localhost ip6-localhost ip6-loopback 
fe00::0 ip6-localnet 

ff00::0 ip6-mcastprefix 

ff62::1 ip6-allnodes 

ff62::2 ip6-allrouters 





Docker 已 在 hosts 文件 中 为 该 容器 的 JP 地址 添加 了 一 条 主机 配置 项 。 再 
来 看 看 容器 的 网 络 配 置 情 况 ， 如 代码 清单 3-7 所 示 。 


代码 清单 3-7 检查 容器 的 接口 


























root@f7cbdac22a02:/# ip a 

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 1500 qdisc noqueue state 
UNKNOWN group default 

link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 

inet 127.0.0.1/8 scope host lo 

inet6 ::1/128 scope host 


valid lft forever preferred lft forever 

899: eth@: <BROADCAST,UP,LOWER UP> mtu 1500 qdisc pfifo fast 
state UP group default qlen 1666 

link/ether 16:50:3a:b6:f2:cc brd ff: fF: ff: fF: FF: FF 

inet 172.17.0.4/16 scope global eth6 

inet6 fe80::1450:3aff:feb6:f2cc/64 scope link 

valid lft forever preferred lft forever 





可 以 看 到 ， 这 里 有 1o 的 环 回 接口 ， 还 有 IP 为 172.17.0.4 的 标准 ethe 
网 络 接口 ， 和 普通 宿主 机 是 完全 一 样 的 。 我 们 还 可 以 查看 容器 中 运行 的 
进程 ， 如 代码 清单 3-8 所 示 。 




















代码 清单 3-8 ”检查 容器 的 进程 




















root@f7cbdac22a02:/# ps -aux 
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND 
root 1 0.0 0.0 18156 1936 ? Ss May30 0:00 /bin/bash 


root 21 0.0 0.0 15568 1100 ? R+ 02:38 0:00 ps -aux 





Be PREFETA? 安 闭 一 个 软件 包 怎 么 样 ? 如 代码 清单 3-9 所 示 。 
代码 清单 3-9 在 第 一 个 容器 中 安装 软件 包 


root@f7cbdac22a02:/# apt-get update && apt-get install vim 


IW Lika, BEA ae A T Vim AKT 
用 户 可 以 继续 在 容器 中 做 任何 自己 想 做 的 事情 。 当 所 有 工作 都 结束 时 ， 
输入 exit ， 就 可 以 返回 到 Ubuntu 宿主 机 的 命令 行 提 示 符 了 。 


这 个 容器 现在 怎样 了 ? 容器 现在 已 经 停止 运行 了 ! 只 有 在 指定 

的 /bin/bash 命令 处 于 运行 状态 的 时 候 ， 我 们 的 容器 也 才 会 相应 地 处 于 
运行 状态 。 一 旦 退出 容器 ，/bin/bash 命令 也 就 结束 了 ， 这 时 容器 也 随 
ZTE TZT 


但 容器 仍然 是 存在 的 ， 可 以 用 docker ps -a 命令 查看 当前 系统 中 容器 

















的 列表 ， 如 代码 清单 3-10 所 示 。 
代码 清单 3-10” 列 出 Docker 容 器 








CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
1cd57c2cdf7f ubuntu:14.04 "/bin/bash" A minute Exited 


gray_cat 








默认 情况 下 ， 当 执行 docker ps 命令 时 ， 只 能 看 到 正在 运行 的 容器 。 如 
果 指 定 -a 标志 的 话 ， 那 么 docker pee a 会 列 出 所 有 容器 ， 包 括 正 在 
运行 的 和 已 经 停止 的 。 


畏 于 也 可 以 为 docker ps 命令 指定 -1 标志 ， 列 出 最 后 一 个 运行 的 容器 ， 无 论 其 正在 运行 还 
是 已 经 停止 。 也 可 以 通过 - -format 标志 ， 进 一 步 控制 显示 哪些 信息 ， 以 及 如 何 显示 这 些 信 


JOro 


从 该 命令 的 输出 结果 中 我 们 可 以 看 到 关于 这 个 容器 的 很 多 有 用 信息 : 
ID、 用 于 创建 该 容器 的 镜像 、 容器 最 后 执行 的 命令 、 创建 时 间 以 及 容器 
的 退出 状态 (在 上 面 的 例子 中 ， 退 出 状态 是 8 ， 因为 容器 是 通过 正 芝 的 
exit 命令 退出 的 ) 。 我 们 还 可 以 看 到 ， 每 个 容器 都 有 一 个 名 称 。 


EEJ 有 3 种 方式 可 以 唯一 指 代 容器 : 短 UUID (如 f7cbdac22a62 ) 、 长 UUID (如 f7cbdac 
22a02e03c9438c729345e54db9d20cfa2ac1fc3494b6eb60872e74778 ) 或 者 名 称 〈 如 
gray_cat ) 。 









































3.4 ”容器 命名 


Docker 会 为 我 们 创建 的 每 一 个 容器 自动 生成 一 个 随机 的 名 称 。 例 如 ， 上 
面 我 们 刚刚 创建 的 容 费 就 被 命名 为 gray_cat 。 如 果 想 为 容 露 指定 一 个 
名 称 ， 而 不 是 使 用 目 动 生成 的 名 称 ， 则 可 以 用 --name 标志 来 实现 ， 如 
代码 清单 3-11 所 示 。 





代码 清单 3-11 给 容器 命名 





$ sudo docker run --name bob the container -i -t ubuntu /bin/bash 
root@aa3f365fOf4e:/# exit 





上 述 命令 将 会 创建 一 个 名 为 bob_the_container 的 容器 。 一 个 合法 的 
容器 名 称 只 能 包含 以 下 字符 : 小 写字 母 avz、 大 写字 母 A~Z、 数 字 0~9、 
下 划 线 、 圆 点 、 横 线 (如 果 用 正则 表达 式 来 表示 这 些 符 号 ， 就 是 [a- 
zA-Z6-9 .-] ) 。 


在 很 多 Docker 命 令 中 ， 都 可 以 用 容 融 的 名 称 来 痊 代 容 峰 ID， 后 面 我 们 将 
会 看 到 。 容 器 名 称 有 助 于 分 辨 容 如 ， 当 构建 容器 和 应 用 程序 之 间 的 逻辑 
连接 时 ， 容 右 的 名 称 也 有 助 于 从 逻辑 上 理解 连接 关系 。 具 体 的 名 称 〔 如 
web. db ) 比 容 如 ID 和 随机 容 右 名 好 记 多 了 。 我 推荐 大 家 部 使 用 容器 
名 称 ， 以 更 加 方便 地 管理 容器 。 


我 们 将 会 在 第 5 章 详细 介绍 如 何 连接 到 Docker 容 器 。 
容 锋 的 命名 必须 是 唯一 的 。 如 果 试 图 创建 两 个 名 称 相 同 的 容 右 ， 则 命令 


将 会 失败 。 如 果 要 使 用 的 容器 名 称 已 经 存在 ， 可 以 先 用 docker rmn 命令 
删除 已 有 的 同名 容器 后 ， 再 来 创建 新 的 容器 。 























3.5 重新 局 动 已 经 停止 的 容 第 


bob_the_container 容器 已 经 停止 了 ， 接 下 来 我 们 能 对 它 做 些 什么 
We? 如 果 愿 意 ， 我 们 可 以 用 下 面 的 命令 重新 启动 一 个 已 经 停止 的 容器 ， 
如 代码 清单 3-12 所 示 。 








代码 清单 3-12 ”启动 已 经 停止 运行 的 容器 


$ sudo docker start bob the container 


除了 容器 名 称 ， 也 可 以 用 容 右 了 D 来 指定 容 右 ， 如 代码 清单 3-13 所 示 。 


代码 清单 3-13 ”通过 ID 启动 已 经 停止 运行 的 容器 


$ sudo docker start aa3f365fO0f4e 


也 可 以 使 用 docker restart 命令 来 重新 启动 一 个 容器 。 


这 时 运行 不 带 -a 标志 的 docker ps 命令 ， 就 应 该 看 到 我 们 的 容器 已 经 
开始 运行 了 。 

CE 类 似 地 ，Docker 也 提供 了 docker create 命令 来 创建 一 个 容器 ， 但 是 并 不 运行 它 。 这 
让 我 们 可 以 在 自己 的 容器 工作 流 中 对 其 进行 细 粒 度 的 控制 。 












































3.6 WEEZE 


Docker 容 器 重新 启动 的 时 候 ， 会 沿用 docker run 命令 时 指定 的 参数 来 
运行 ， 因 此 我 们 的 容 湛 重新 启动 后 会 运行 一 个 交互 式 会 话 shell。 此 外 ， 
也 可 以 用 docker attach 命令 ， 重 新 附着 到 该 容器 的 会 话 上 ， 如 代码 
清单 3-14 所 示 。 














代码 清单 3-14 ”附着 到 正在 运行 的 容器 





$ sudo docker attach bob the container 





也 可 以 使 用 容器 ID， 重 新 附 独 到 容器 的 会 话 上 ， 如 代码 清单 3-15 所 示 。 


代码 清单 3-15 ”通过 ID 附着 到 正在 运行 的 容器 








$ sudo docker attach aa3f365f0f4e 


现在 ， 又 重新 回 到 了 容器 的 Bash 提 示 符 ， 如 代码 清单 3-16 所 示 。 
代码 清单 3-16 重新 附着 到 容器 的 会 话 











root@aa3f365fef4e:/ # 











本 对 可 能 需要 按 下 回 车 键 才能 进入 该 会 话 。 





如 果 退 出 容器 的 shell， 容 器 会 再 次 停止 运行 。 


3.7 创建 守护 式 容 右 
除了 这 些 交 互 式 运 行 的 容器 (interactive container) ， 也 可 以 创建 长 期 运 
行 的 容器 。 守 护 式 容器 Cdaemonized container) 没有 交互 式 会 话 ， 非 常 
合 运 行 应 用 程序 和 服务 。 大 多 数 时 候 我 们 都 需要 以 守护 式 来 运行 我 们 
的 容器 。 下 面 就 来 启动 一 个 守护 式 容 器 ， 如 代码 清单 3-17 所 示 。 


代码 清单 3-17 创建 长 期 运行 的 容器 






































$ sudo docker run --name daemon dave -d ubuntu /bin/sh -c "while 
true; do echo hello world; sleep 1; done" 


1333bb1a66af402138485fe44a335b382c09a887aa9f95cb9725e309ce5b7db3 





我 们 在 上 面 的 docker run 命令 使 用 了 -d 参数 ， 因 此 Docker 会 将 容器 放 
到 后 台 运 行 

Tea ae 该 循环 会 一 直 打 
印 hello world ， 直 到 容器 或 其 进程 停止 


通过 组 合 使 用 上 面 的 这 些 参数 ， 你 会 发 现 docker run 命令 并 没有 像 上 
一 个 容器 一 样 将 主机 的 控制 台 附 着 到 新 的 shell 会 话 上 ， 而 是 仅仅 返回 了 
一 个 容器 ID 而 已 ， 我 们 还 是 在 主机 的 命令 行 之 中 。 如 果 执 行 docker ps 
命令 ， 可 以 看 到 一 个 正在 运行 的 容器 ， 如 代码 清单 3-18 所 示 。 


代码 清单 3-18 查看 正在 运行 的 daemon_dave 容器 

















CONTAINER ID IMAGE COMMAND CREATED 
STATUS PORTS NAMES 
1333bb1a66af ubuntu:14.04 /bin/sh -c ‘while tr 32 secs ago Up 27 


daemon_dave 





3.8 AAA babe Ta 


现在 我 们 已 经 有 了 一 个 在 后 台 运 行 while GPR HS EE ro 为 了 探究 
ei ABE PEAT A, 可 以 用 docker logs 命令 来 获取 容器 的 日 
志 ， 如 代码 清单 3-19 所 示 。 





代码 清单 3-19 ”获取 守护 式 容 器 的 日 : 


Ct 








$ sudo docker logs daemon_dave 
hello world 
hello world 
hello world 
hello world 
hello world 


hello world 
hello world 





这 里 ， 我 们 可 以 看 到 while 循环 正在 向 日 志 里 打印 hello world. 
Docker 会 输出 最 后 几 条 日 志 项 并 返回 。 我 们 也 可 以 在 合 令 后 使 用 -f 参 
数 来 监控 Docker 的 日 志 ， 这 与 tail -f 命令 非常 相似 ， 如 代码 清单 3-20 
所 示 。 





代码 清单 3-20 ”跟踪 守护 式 容器 的 日 ; 


Ct 








$ sudo docker logs -f daemon_dave 
hello world 
hello world 
hello world 
hello world 
hello world 


hello world 
hello world 





E 可 以 通过 ctr+Cc 退出 日 志 跟 踪 。 


我 们 也 可 以 跟 踊 容 器 日 志 的 某 一 片段 ， 和 之 前 类 似 ， 只 需要 在 tail 命 
令 后 加 入 -f --tail 标志 即 可 。 例 如 ， 可 以 用 docker logs --tail 
16 daemon_dave 获取 日 志 的 最 后 10 行 内 容 。 另 外 ， 也 可 以 用 docker 
logs --tail 6 -f daemon_dave 命令 来 跟踪 某 个 容器 的 最 新 日 志 而 
不 必 读 取 整 个 日 志文 件 。 


为 了 让 调试 更 简单 ， 还 可 以 使 用 -t 标志 为 每 条 日 志 项 加 上 时 间 蕉 ， 如 
代码 清单 3-21 所 示 。 


$ sudo docker 


[May 10 13:06: 
[May 10 13:06: 


[May 10 13:06 


[May 10 13:06: 
[May 10 13:06: 


E 同样 ， 可 以 通过 Ctr+C 退出 














代码 清单 3-21 跟踪 守护 式 容 器 的 最 新 日 志 











logs -ft daemon_dave 


17.934] 
18.935] 


119.937] 


20.939] 
21.942] 














hello 
hello 
hello 
hello 
hello 





world 
world 
world 
world 
world 











日 志 跟 踩 。 


3.9 Docker H IKZ) 


H Docker 1.6 开 始 ， 也 可 以 控制 Docker 守 护 进 程 和 容器 所 用 的 日 志 驱 
动 ， 这 可 以 通过 --log-driver 选 项 来 实现 。 可 以 在 启动 Docker 守 护 进程 或 
者 执行 docker run 命 令 时 使 用 这 个 选项 。 


有 好 几 个 选项 ， 包 括 默认 的 json-file，json-file 也 为 我 们 前 面 看 到 的 
docker logs 命 令 提 供 了 基础 。 


其 他 可 用 的 选项 还 包括 syslog， 该 选项 将 禁用 docker logs 命 令 ， 并 且 将 所 
有 容器 的 日 志 输 出 都 重 定 癌 到 Syslog。 可 以 在 启动 Docker 守 护 进 程 时 指 
定 该 选项 ， 将 所 有 容器 的 日 志 都 输出 到 Syslog， 或 者 通过 docker run 对 个 
别 的 容器 进行 日 志 重 定 问 输 出 。 











代码 清单 3-22 在 容器 级 别 启动 Syslog 


$ sudo docker run --log-driver="syslog" --name daemon_dwayne -d 
ubuntu /bin/sh -c "while true; do echo hello world; sleep 1; 
done" 








ES 如 果 是 在 Docker Toolbox 中 运行 Docker， 应 该 在 虚拟 机 中 启动 Syslog 守 护 进程 。 可 以 先 
通过 docker-machine ssh 命令 连接 到 Docker Toolbox 虚 拟 机 ， 再 在 其 中 运行 syslogd 命令 来 
启动 Syslog 和 守护 进程 。 


上 面 的 命令 会 将 daemon_dwayne 容 器 的 日 志 都 输出 到 Syslog， 导 到 
docker logs 命 令 不 输出 任何 东西 。 


最 后 ， 还 有 一 个 可 用 的 选项 是 none， 这 个 选项 将 会 禁用 所 有 容器 中 的 日 
志 ， 导 致 docker logs 命 令 也 被 禁用 。 












































新 的 日 志 驱 动 也 在 不 断 地 增加 ， 在 Docker 1.8 中 ， 新 增 了 对 Graylog GELF 协 议 4! 、 
Fluentd [5] 以 及 日 志 轮转 驱动 的 支持 。 








3.10 ”查看 容器 内 的 进程 


除了 容器 的 日 志 ， 所 可 以 得 有 容器 站 部 运行 的 进程 。 要 做 到 这 一 点 ， 要 
使 用 docker top 命令 ， 如 代码 清单 3-23 所 示 。 


代码 清单 3-23 ”查看 守护 式 容 器 的 进程 


$ sudo docker top daemon dave 


该 命令 Wí Jj 后， 可 以 看 到 容器 内 的 所 有 进程 (主要 还 是 我 们 的 while 循 
环 ) 、 运 行进 程 的 用 户 及 进程 ID， 如 代码 清单 3-24 所 示 。 


代码 清单 3-24 docker top 命令 的 输出 结果 





























PID USER COMMAND 


977 root /bin/sh -c while true; do echo hello world; sleep 1; 
done 


1123 root sleep 1 





3.11 Docker 统 计 信 息 


除了 docker top 命令 ， 还 可 以 使 用 docker stats 命令 ， 它 用 来 显示 
一 个 或 多 个 容器 的 统计 信息 。 让 我 们 来 看 看 它 的 输出 是 什么 样 的 。 下 面 
我 们 来 查看 一 下 容器 daemon_dave 以 及 其 他 守护 式 容器 的 统计 信息 。 


代码 清单 3-25 docker stats 命 令 

















$ sudo docker stats daemon_dave daemon_kate daemon_clare daemon_sarah 
CONTAINER CPU % MEM USAGE/LIMIT MEM % NET I/O BLOCK I/O 
daemon_clare 0.10% 220 KiB/994 MiB 0.02% 1.898 KiB/648 B 12.75 MB / 6 B 
daemon dave 0.14% 212 KiB/994 MiB 0.02% 5.062 KiB/648 B 1.69 MB / @B 


daemon_kate 0.11% 216 KiB/994 MiB 0.02% 1.402 KiB/648 B 24.43 MB / 6 B 
daemon_sarah 0.12% 208 KiB/994 MiB 0.02% 718 B/648 B 11.12 MB /0 
B 








我 们 能 看 到 一 个 守护 式 容 器 的 列表 ， 以 及 它们 的 CPU、 内 存 、 网 络 WO 
及 存储 IO 的 性 能 和 指标 。 这 对 快速 监控 一 台 主 机 上 的 一 组 容器 非常 有 
用 。 


本 docker stats 是 Docker 1.5.0 中 引入 的 命令 。 





3.12 在 容 需 内 部 运行 进程 


在 Docker 1.3 之 后 ， 也 可 以 通过 docker exec 命令 在 容器 内 部 额外 启动 
新 进程 。 可 以 在 容器 内 运行 的 进程 有 两 种 类 型 : 后台 任务 和 交互 式 任 
务 。 后 台 任 务 在 容 右 内 运行 且 没 有 交互 需求 ， 而 交互 式 任务 则 保持 在 前 
台 运 行 。 对 于 需要 在 容器 内 部 打开 shell 的 任务 ， 交 互 式 任 务 是 很 实用 
的 。 下 面 先 来 看 一 个 后 台 任 务 的 例子 ， 如 代码 清单 3-26 所 示 。 


代码 清单 3-26 ”在 容器 中 运行 后 台 任务 


$ sudo docker exec -d daemon dave touch /etc/new config file 


这 里 的 -d 标志 表明 需要 运行 一 个 后 台 进程 ，-d 标志 之 后 ， 指 定 的 是 要 

在 内 部 执行 这 个 命令 的 容器 的 名 字 以 及 要 执行 的 命令 。 上 面 例子 中 的 命 
令 会 在 daemon_dave 容器 内 创建 了 一 个 空 文件 ， 文 件 名 

为 /etc/new_config file 。 通 过 docker exec 后 台 命 令 ， 可 以 在 下 

在 运行 的 容器 中 进行 维护 、 监 控 及 管理 任务 。 

E Docker 1.7 开 始 ， 可 以 对 docker exec 启动 的 进程 使 用 -u 标志 为 新 启动 的 进程 指定 一 
个 用 户 属 主 。 


我 们 也 可 以 在 daemon_dave 容器 中 局 动 一 个 诸如 打开 shell 的 交互 式 任 
务 ， 如 代码 清单 3-27 所 示 。 






































代码 清单 3-27 在 容器 内 运行 交互 命令 


$ sudo docker exec -t -i daemon dave /bin/bash 


和 运行 交互 容器 时 一 样 ， 这 里 的 -t 和 -i 标志 为 我 们 执行 的 进程 创建 了 
TTY 并 捕捉 STDIN 。 接 痢 我 们 指定 了 要 在 内 部 执行 这 个 命令 的 容 需 的 名 
字 以 及 要 执行 的 命令 。 在 上 面 的 例子 中 ， 这 条 命令 会 在 daemon_dave 

容 铝 内 创建 一 个 新 的 bash 会 话 ， 有 了 这 个 会 话 ， 我 们 残 可 以 在 该 容 需 中 
运行 其 他 命令 了 。 


EZ docker exec 命令 是 Docker 1.3 引 入 的 ， 早 期 版 本 并 不 支持 该 命令 。 对 于 早期 Docker 版 
本 ， 请 参考 第 6 章 中 介绍 的 nsenter 命令 。 





3.13 fPIE PRA a 


要 停止 守护 式 容器 ， 只 需要 执行 docker stop 命令 ， 如 代码 清单 3-28 所 
ZN o 








代码 清单 3-28 停止 正在 运行 的 Docker 容 器 








$ sudo docker stop daemon_dave 


A, LAT DAA A as IDR RARA BOTS 3-29 fT AN - 


代码 清单 3-29 通过 容器 ID 停止 正在 运行 的 容器 


$ sudo docker stop c2c4e57c12c4 


























FEBS docker stop 命令 会 向 Docker 容 器 进程 发 送 SIGTERM 信和 号。 如 果 想 快速 停止 某 个 容 

















器 ， 也 可 以 使 用 docker kill 命令 来 向 容器 进程 发 送 SIGKILL 信号 。 


要 想 查 看 已 经 停止 的 容器 的 状态 ， 则 可 以 使 用 docker ps 命令 。 还 有 一 
个 很 实用 的 命令 docker ps -n x， 该 命令 会 显示 最 后 x 个 容器 ， 不 论 
这 些 容器 正在 运行 还 是 已 经 停止 。 




















3.14 ”自动 重启 容器 


如 果 由 于 某 种 错误 而 导致 容器 停止 运行 ， 还 可 以 通过 - -restart 标志 ， 
让 Docker 自 动 重新 启动 该 容器 。- -restart 标志 会 检查 容器 的 退出 代 
码 ， 并 据 此 来 决定 是 否 要 重启 容器 。 默 认 的 行为 是 Docker 不 会 重启 容 


Aa 


AN o 


代码 清单 3-30 是 一 个 在 docker run 命令 中 使 用 -restart 标志 的 例 
Te 




















代码 清单 3-30 ”自动 重启 容器 














$ sudo docker run --restart=always --name daemon_dave -d ubuntu / 
bin/sh -c "while true; do echo hello world; sleep 1; done" 





在 本 例 中 ，- -restart 标志 被 设置 为 always 。 无 论 容 占 的 退出 代码 是 
什么 ，Docker 都 会 自动 重启 该 容器 。 除 了 always ， 还 可 以 将 这 个 标志 
设 为 on-failure ， 这 样 ， 只 有 当 容 器 的 退出 代码 为 非 0 值 的 时 候 ， 才 
会 自动 重启 。 另 外 ，on-failure 还 接受 一 个 可 选 的 重启 次 数 参 数 ， 如 
代码 清单 3-31 所 示 。 














代码 清单 3-31 为 on-failure 指定 count 参数 


--restart=on-failure:5 


这 样 ， 当 容器 退出 代码 为 非 0 时 ，Docker 会 尝试 自动 重启 该 容器 ， 最 多 
重启 5 次 。 


--restart 标志 是 Docker1.2.0 引 入 的 选项 。 











3.15 MAT 


除了 通过 docker ps 命令 获取 容器 的 信息 ， 还 可 以 使 用 docker 
inspect 来 获得 更 多 的 容器 信息 ， 如 代码 清单 3-32 所 示 。 


代码 清单 3-32 ”查看 容器 








$ sudo docker inspect daemon_dave 


[{ 


n" ID" : ili 
c2c4e57c12c4c142271c031333823aF95d64b20b5d607970c 33478443 ebcbdeFf 


3 
"Created": "2014-05-10T11:49:01.902029966Z", 
"Path": "/bin/sh", 


"while true; do echo hello world; sleep 1; done" 
l 
"Config": { 

"Hostname": "c2c4e57c12c4", 





docker inspect 命令 会 对 容器 进行 详细 的 检查 ， 然 后 返回 其 配置 信 
息 ， 包 括 名 称 、 命 令 、 网 络 配置 以 及 很 多 有 用 的 数据 。 


也 可 以 用 -f 或 者 --format 标志 来 选 定 但 看 结果 ， 如 代码 清单 3-33 所 
不 








代码 清单 3-33 ”有 选择 地 获取 容器 信息 





$ sudo docker inspect --format='{{ .State.Running }}' daemon_dave 
false 





上 和 面 这 条 命令 会 返回 容器 的 运行 状态 ， 示 例 中 该 状态 为 false 。 我 们 还 
能 获取 其 他 有 用 的 信息 ， 如 容 恤 IP 地 址 ， 如 代码 清单 3-34 所 示 。 





代码 清单 3-34 查看 容器 的 IP 地 址 





$ sudo docker inspect --format '{{ .NetworkSettings.IPAddress }}' 
daemon_dave 
172.17.0.2 








ERS -format 或 者 -f 标志 远 非 表面 看 上 去 那么 简单 。 该 标志 实际 上 支持 完整 的 Go 语言 模 
板 。 用 它 进行 查询 时 ， 可 以 充分 利用 Go 语言 模板 的 优势 S. 


A 并 显示 每 个 容器 的 输出 结果 ， 如 代码 清单 3- 
S5AT AR o 














代码 清单 3-35 ”查看 多 个 容器 


























$ sudo docker inspect --format '{{.Name}} {{.State.Running}}' \ 
daemon_dave bob_the_container 
/daemon_dave false 


/bob_the_container false 





可 以 为 该 参数 指定 要 查询 和 返回 的 查看 散 列 (inspect hash) 中 的 任意 间 


分 。 





国 到 除了 查看 容器 ， 还 可 以 通过 浏览 /var/1ib/docker 目录 来 深入 了 解 Docker 的 工作 原 
里 。 该 目录 存放 着 Docker 镜 像 、 容 器 以 及 容器 的 配置 。 所 有 的 容器 都 保存 
在 /var/lib/docker/containers HX F. 

















Ne 
T 








3.16 ”删除 容器 


如 果 容 器 已 经 不 再 使 用 ， 可 以 使 用 docker rm 命令 来 删除 它们 ， 如 代码 
清单 3-36 所 示 。 





代码 清单 3-36 ”删除 容器 





$ sudo docker rm 80430f8d0921 
80430f8de921 





PRES 从 Docker 1.6.2 开 始 ， 可 以 通过 给 docker rm 命令 传递 -f 标志 来 删除 运行 中 的 Docker 容 
器 。 这 之 前 的 版 本 必须 先 使 用 docker stop 或 docker kill 命令 停止 容器 ， 才 能 将 其 删除 。 
目前 ， 还 没有 办 法 一 次 删除 所 有 容器 ， 不 过 可 以 通过 代码 清单 3-37 所 示 
的 小 技巧 来 删除 全 部 容器 。 


D 





代码 清单 3-37 删除 所 有 容器 











$ sudo docker rm ~sudo docker ps -a -q` 


上 面 的 docker ps 命令 会 列 出 现 有 的 全 部 容器 ，-a 标志 代表 列 出 所 有 
RA m-q 标志 则 表示 只 需要 返回 容 右 的 有 D 而 不 会 返回 容器 的 其 他 信 
Bo KERITI T FRIDRIK, Hkz docker rm 命令， 从 
而 达到 删除 所 有 容器 的 目的 。 
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AARNA T Docker 48 WSEAS TE EK I AA EAR 
余 章 节 中 学 习 如 何 使 用 Docker 的 基础 。 


在 下 一 章 中 将 会 探讨 如 何 构 建 自己 的 Docker 镜 像 ， 以 及 如 何 使 用 Docker 
仓库 和 Docker Registry。 





[1] http://docs.docker.com/reference/commandline/cli/ 
[2] http://docs.docker.com/reference/commandline/cli/#run 
[3] http:/hub.docker.com/ 


[4] https://www. graylog.org/centralize-your-docker-container-logging- 
with-graylog-native-integration/ 


[5] http://blog.treasuredata.com/blog/2015/08/03/5-use-cases-docker- 
fluentd/ 


[6] http://golang.org/pkg/text/template/ 


第 4 章 “” 使 用 Docker 镜 像 和 仓 


库 





在 第 2 章 中 ， 我 们 学 习 了 如 何 安装 Docker。 接 着 在 第 3 章 ， 我 们 又 学 习 了 
包括 docker run 在 内 的 很 多 用 于 管理 Docker 容 器 的 命令 。 


再 来 看 一 下 docker run 命令 ， 如 代码 清单 4-1 所 示 。 
代码 清单 4-1 回顾 一 下 如 何 创 建 一 个 最 基本 的 Docker 容 器 


$ sudo docker run -i -t --name another _container_mum ubuntu\ 
/bin/bash 
root@b415b317ac75:/_#_ 





这 条 命令 将 会 启动 一 个 新 的 名 为 another_container_mum 的 容器 ， 这 
个 容器 基于 ubuntu 镜像 并 且 会 启动 Bash shell. 


在 本 章 中 ， 我 们 将 主要 探讨 Docker 镜 像 : 用 来 启动 容器 的 构建 基石 。 我 
们 将 会 学 习 很 多 关于 Docker 镜 像 的 知识 ， 比 如 ， 什 么 是 镜像 ， 如 何 对 镜 
像 进行 管理 ， 如 何 修改 镜像 ， 以 及 如 何 创 建 、 存 储 和 共享 自己 创建 的 镜 
像 。 我 们 还 会 介绍 用 来 存储 镜像 的 仓库 和 用 来 存储 仓库 的 Registry。 


4.1 什么 是 Docker 镜 像 


让 我 们 通过 进一步 学 习 Docker 镜 像 来 继续 我 们 的 Docker 之 旅 。Docker 镜 
像 是 由 文件 系统 车 加 而 成 。 最 底 病 是 一 个 引导 文件 系统 ， 即 bootfs ， 
这 很 像 典 型 的 Linux/Unix 的 引导 文件 系统 。Docker 用 户 几 乎 永远 不 会 和 
引导 文件 系统 有 什么 交互 。 实 际 上 ， 当 一 个 容器 启动 后 ， 它 将 会 被 移 到 
内 存 中 ， 而 引导 文件 系统 则 会 被 凶 载 (unmount) ， 以 留 出 更 多 的 内 存 
供 initrd 磁盘 镜像 使 用 。 


到 目前 为 止 ，Docker 看 起 来 还 很 像 一 个 典型 的 Linux 虚 拟 化 栈 。 实 际 

上 上 ，Docker 镜 像 的 第 二 层 是 root 文 件 系 统 rootfs ， 它 位 于 引导 文件 系统 
ZE. rootfs 可 以 是 一 种 或 多 种 操作 系统 〈 如 Debian 或 者 Ubuntu 文件 
系统 ) 。 


在 传统 的 Linux 引 导 过 程 中 ，root 文 件 系统 会 最 先 以 只 读 的 方式 加 载 ， 当 
引导 结束 并 完成 了 完整 性 检查 之 后 ， 它 才 会 被 切换 为 读 写 模式 。 但 是 在 
Docker 里 ，root 文 件 系统 永远 只 能 是 只 读 状 态 ， 并 且 Docker 利 用 联合 加 
H (union mount) 技术 又 会 在 root 文 件 系统 层 上 加 载 更 多 的 只 读 文件 
系统 。 联 合 加 载 指 的 是 一 次 同时 加 载 多 个 文件 系统 ， 但 是 在 外 面 看 起 来 
只 能 看 到 一 个 文件 系统 。 联 合 加 载 会 将 各 层 文件 系统 到 加 到 一 起 ， 这 样 
最 终 的 文件 系统 会 包含 所 有 底层 的 文件 和 目录 。 


Docker 将 这 样 的 文件 系统 称 为 镜像 。 一 个 镜像 可 以 放 到 另 一 个 镜像 的 顶 
部 。 位 于 下 面 的 镜像 称 为 父 镜 像 (parent image) ， 可 以 依次 类 推 ， 直 到 
镜像 栈 的 最 底部 ， 最 底部 的 镜像 称 为 基础 镜像 (base image) 。 最 后 ， 
当 从 一 个 镜像 局 动容 器 时 ，Docker 会 在 该 镜像 的 最 顶层 加 载 一 个 读 写 文 
件 系统 。 我 们 想 在 Docker 中 运行 的 程序 就 是 在 这 个 读 写 层 中 执行 的 。 


这 听 上 去 有 点 儿 令 人 迷惑 ， 我 们 最 好 还 是 用 一 张 图 来 表示 一 下 ， 如 图 4- 
1 所 示 。 























基础 镜像 


引导 文件 系统 


容器 组 、 命 名 空间 、 
设备 映射 


内 核 








图 4-1 Docker 文 件 系统 层 


当 Docker 第 一 次 局 动 一 个 容器 时 ， 初 始 的 读 写 层 是 空 的 。 当 文件 系统 发 
生变 化 时 ， 这 些 变 化 都 会 应 用 到 这 一 层 上 。 比 如 ， 如 果 想 修改 一 个 文 
件 ， 这 个 文件 首先 会 从 该 读 写 层 下 面 的 只 读 层 复制 到 该 读 写 层 。 该 文件 
的 只 读 版 本 依然 存在 ， 但 是 已 经 被 读 写 层 中 的 该 文件 副本 所 隐藏 。 


通常 这 种 机 制 被 称 为 写 时 复制 (copy on write) ， 这 也 是 使 Docker 如 此 
强大 的 技术 之 一 。 每 个 只 读 镜像 层 都 是 只 读 的 ， 并 且 以 后 永远 不 会 变 

化 。 当 创建 一 个 新 容器 时 ，Docker 会 构建 出 一 个 镜像 栈 ， 并 在 栈 的 最 顶 
端 添 加 一 个 读 写 层 。 这 个 读 写 层 再 加 上 其 下 面 的 镜像 层 以 及 一 些 配置 数 
据 ， 就 构成 了 一 个 容器 。 在 上 一 章 我 们 已 经 知道 ， 容 器 是 可 以 修改 的 ， 

它们 都 有 自己 的 状态 ， 并 且 是 可 以 启动 和 停止 的 。 容 器 的 这 种 特点 加 上 
镜像 分 层 框架 (image-layering framework) ， 使 我 们 可 以 快速 构建 镜像 
并 运行 包含 我 们 自己 的 应 用 程序 和 服务 的 容器 。 














4.2 列 出 镜像 


我 们 先 从 如 何 列 出 Docker 主 机 上 可 用 的 镜像 来 开始 Docker 镜 像 之 旅 。 可 
以 使 用 docker images 命令 来 实现 ， 如 代码 清单 4-2 所 示 。 


代码 清单 4-2” 列 出 Docker 镜 像 





$ sudo docker images 
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 


ubuntu latest c4ff7513909d 6 days ago 225.4 MB 





可 以 看 到 ， 我 们 已 经 获得 了 一 个 镜像 列表 ， 它 们 都 来 源 于 一 个 名 

为 ubuntu 的 人 仓库。 那么 ， 这 些 镜像 是 从 何 而 来 的 呢 ? 还 记得 在 第 3 章 
中 ， 我 们 执行 docker run 命令 时 ， 同 时 进行 了 镜像 下 载 吗 ? 在 那个 例 
子 中 ， 使 用 的 就 是 ubuntu 镜像 。 


BERS 林地 镜像 都 保存 在 Docker 宿 主机 的 /var/1ib/docker 目录 下 。 每 个 镜像 都 保存 在 
Pae a a 动 目录 下 面 ， 如 aufs 或 者 devicemapper 。 也 可 以 
fE/var/lib/docker/containers 目录 下 面 看 到 所 有 的 容器 。 


镜像 从 仓库 下 载 下 来 。 镜 像 保 存在 仓库 中 ， 而 仓库 存在 于 Registry 中 。 
默认 的 Registry 是 由 Docker 公 司 运 营 的 公共 Registry 服 务 ， 即 Docker 
Hub， 如 图 4-2 所 示 。 









































Docker Registry 的 代码 是 开源 的 ， 也 可 以 运行 自己 的 私有 Registry， 本 章 的 后 面 会 讲 到 相 
关内 容 。 同 时 ，Docker 公 司 也 提供 了 一 个 商业 版 的 Docker Hub， 即 Docker Trusted Registry， 这 
是 一 个 可 以 运行 在 公司 防火 墙 内 部 的 产品 ， 之 前 被 称 为 Docker Enterprise Hub。 














6 https://registry.hub.docker.com 
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图 4-2 Docker Hub 





在 Docker Hub 〈 或 者 用 户 上 自己 运营 的 Registry) 中 ， 镜 像 是 保存 在 仓库 
中 的 。 可 以 将 镜像 仓库 想象 为 类 似 Git 仓 库 的 东西 。 它 包括 镜像 、 层 以 
及 关于 镜像 的 元 数据 (metadata) 。 


每 个 镜像 仓库 都 可 以 存放 很 多 镜像 (比如 ，ubuntu 仓库 包含 了 Ubuntu 
12.04、12.10、13.04、13.10 和 14.04 的 镜像 ) 。 让 我 们 看 一 下 ubuntu 仓 
库 的 另 一 个 镜像 ， 如 代码 清单 4-3 所 示 。 








代码 清单 4-3 ” 拉 取 Ubuntu 镜像 








$ sudo docker pull ubuntu:12.04 
Pulling repository ubuntu 

463ff6be4238: Download complete 
511136ea3c5a: Download complete 
3af9d794ad07: Download complete 


pO 


这 里 使 用 了 docker pull 命令 来 拉 取 ubuntu 仓库 中 的 Ubuntu 12.04 镜 
像 。 


再 来 看 看 docker images 命令 现在 会 显示 什么 结果 ， 如 代码 清单 4-4 所 
示 。 











代码 清单 4-4” 列 出 所 有 ubuntu Docker 镜像 

















$ sudo docker images 

REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
ubuntu latest 5506de2b643b 3 weeks ago 199.3 MB 
ubuntu 12.04 6b316e6bf658 5 months ago 127.9 MB 


ubuntu precise @b310e6bf@58 5 months ago 127.9 MB 





可 以 看 到 ， 我 们 已 经 得 到 了 Ubuntu 的 latest 镜像 和 12.64 镜像 。 这 表 
明 ubuntu 镜像 实际 上 是 聚集 在 一 个 仓库 下 的 一 系列 镜像 。 


国 本 于 我们 虽然 称 其 为 Ubuntu 操 作 系 统 ， 但 实际 上 它 并 不 是 一 个 完整 的 操作 系统 。 它 只 是 一 个 
裁 艾 版 ， 只 包含 最 低 限度 的 文 持 系统 运行 的 组 件 。 


为 了 区 分 同一 个 仓库 中 的 不 同 镜像 ，Docker 提 供 了 一 种 称 为 标签 〈tag ) 
的 功能 。 每 个 镜像 在 列 出 来 时 都 带 有 一 个 标签 ， 如 12.64 、12.16 、 
quantal 或 者 precise 等 。 每 个 标签 对 组 成 特定 镜像 的 一 些 镜像 层 进行 
标记 〈 比 如 ， 标 签 12.04 就 是 对 所 有 Ubuntu 12.04 镜 像 的 层 的 标记 ) 。 
这 种 机 制 使 得 在 同一 个 仓库 中 可 以 存储 多 个 镜像 。 


我 们 可 以 通过 在 仓库 名 后 面 加 上 一 个 冒号 和 标签 名 来 指定 该 仓库 中 的 某 
一 镜像 ， 如 代码 清单 4-5 所 示 。 



































代码 清单 4-5 ”运行 一 个 带 标签 的 Docker 镜 像 





$ sudo docker run -t -i --name new container ubuntu:12.64 /bin/bash 
root@79e36bFfFf89b4: /# 





这 个 例子 会 从 镜像 ubuntu:12.64 启动 一 个 容器 ， 而 这 个 镜像 的 操作 系 
统 则 是 Ubuntu 12.04。 


我 们 还 能 看 到 ， 在 我 们 的 docker images 输出 中 新 的 12.64 镜像 以 相 
同 的 镜像 ID 出 现 了 两 次 ， 这 是 因为 一 个 镜像 可 以 有 多 个 标签 。 这 使 我 们 
可 以 方便 地 对 镜像 进行 打 标 签 并 且 很 容易 查找 镜像 。 在 这 个 例子 中 ，ID 
6b316e6bf658 的 镜像 实际 上 被 打上 了 12.64 和 precise 两 个 标签 ， 分 
别 代 表 该 Ubuntu 发 布 版 的 版 本 写 和 代号 。 


在 构建 容 右 时 指定 仓库 的 标签 也 是 一 个 很 好 的 习惯 。 这 样 便 可 以 准确 地 
指定 容器 来 源 于 哪里 。 不 同 标签 的 镜像 会 有 不 同 ， 比 如 Ubutnu 12.04 和 
14.04 就 不 一 样 ， 指 定 镜像 的 标签 会 让 我 们 确切 知道 自己 使 用 的 

是 ubuntu:12.64 ， 这 样 我 们 就 能 准确 知道 自己 在 干什么 。 

Docker Hub 中 有 两 种 类 型 的 仓库 : 用 户 仓 库 Cuser repository) 和 顶层 仓 
JÆ (top-level repository) 。 用 户 仓库 的 镜像 都 是 由 Docker 用 户 创建 的 ， 
而 顶层 仓库 则 是 由 Docker 内 部 的 人 来 管理 的 。 


eae 的 命名 由 用 户 名 和 仓库 名 两 部 分 组 成 ， 如 jamtur81/puppet 














e 用 户 名 : jamture1 。 
。 仓库 名 : puppet 。 


与 之 相对 ， 顶 层 仓库 只 包含 仓库 名 部 分 ， 如 ubuntu 仓库 。 顶 层 仓库 由 
Docker 公 司 和 由 选 定 的 能 提供 优质 基础 镜像 的 厂商 (如 Fedora 团 队 提 供 
J fedora 镜像 ) 管理 ， 用 户 可 以 基于 这 些 基 础 镜像 构建 自己 的 镜像 。 
同时 顶层 仓库 也 代表 了 各 厂商 和 Docker 公 司 的 一 种 承诺 ， 即 顶层 仓库 中 
的 镜像 是 架构 良好 、 安 全 且 最 新 的 。 


在 Docker 1.8 中 ， 还 增加 了 对 镜像 内 容 安 全 性 进行 管理 的 功能 ， 即 镜像 
签名 。 不 过 目前 这 只 是 一 个 可 选 特性 ， 可 以 从 Docker 博 客 
(https://blog.docker.com/2015/08/content-trust- docker-1-8/ ) 获得 更 多 相 


O ðo 


























j 户 贡献 的 镜像 都 是 由 Docker 社 区 用 户 提 供 的 ， 这 些 镜像 并 没有 经 过 Docker 公 司 的 确认 
和 验证 ， 在 使 用 这 些 镜像 时 需要 自己 承担 相应 的 风险 。 



































4.3 拉 取 镜像 


用 docker run 命令 从 镜像 启动 一 个 容 髓 时 ， 如 条 该 镜像 个 在 本 地 ， 

Docker 会 先 从 Docker Hub 下 载 访 镜像。 如果 没有 指定 具体 的 镜像 标签 ， 

那么 Docker 会 上 自动 下 载 latest 标签 的 镜像 。 例 如 ， “如 果 本 地 宿主 机 上 
iA ubuntu: latest 镜像 ， 代 码 清单 4-6 所 示 代 码 将 下 载 该 镜像 。 


代码 清单 4-6 d``ocker``run 和 默认 的 latest 标签 








$ sudo docker run -t -i --name next container ubuntu /bin/bash 
root@23a42cee91c3:/# 





其 实 也 可 以 通过 docker pull 命令 先发制人 地 将 该 镜像 拉 取 到 本 地 。 
{# docker pull 命令 可 以 节省 从 一 个 新 镜像 启动 一 个 容器 所 需 的 时 
间 。 下 面 就 来 看 看 如 何 拉 取 一 个 fedora:26 基础 镜像 ， 如 代码 清单 4-7 
所 示 。 











代码 清单 4-7 拉 取 fedora 镜像 














$ sudo docker pull fedora:26 

fedora:latest: The image you are pulling has been verified 
782cf93a8f16: Pull complete 

7d3f07f8de5f: Pull complete 


511136ea3c5a: Already exists 
Status: Downloaded newer image for fedora: 2 





可 以 使 用 docker images 命令 看 到 这 个 新 镜像 已 经 下 载 到 本 地 Docker 
宿主 机 上 了 。 个 过 这 次 我 们 希望 能 在 锁 像 列表 中 上 4 看 到 fedora 镜像 的 
内 容 。 这 可 以 通过 在 docker images 命令 后 面 指定 镜像 名 来 实现 ， 如 
代码 清单 4-8 所 示 。 











代码 清单 4-8 查看 fedora 镜像 














$ sudo docker images fedora 
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 


fedora 20 7d3f67f8de5f 6 weeks ago 374.1 MB 


可 以 看 到 ，fedora:26 镜像 已 经 被 下 载 ， 也 可 以 使 用 docker pull 命 
令 下 载 另 一 个 带 标签 的 镜像 ， 如 代码 清单 4-9 所 示 。 


代码 清单 4-9 拉 取 带 标 签 的 fedora 镜像 


$ sudo docker pull fedora:21 


该 命令 只 会 拉 取 fedora:21 镜像 。 


























4.4 查找 镜像 


我 们 也 可 以 通过 docker search 命令 来 查找 所 有 Docker Hub 上 公共 的 
可 用 镜像 ， 如 代码 清单 4-10 所 示 。 





代码 清单 4-10 ”查找 镜像 





$ sudo docker search puppet 
NAME DESCRIPTION STARS OFFICIAL AUTOMATED 
wfarr/puppet-module... 


jamtur@1/puppetmaster 





也 可 以 在 Docker Hub 网 站 上 在 线 查 找 可 用 镜像 。 


上 面 的 命令 在 Docker 的 镜像 。 这 条 命令 
会 完成 镜像 得 找 工 作 ， 并 返回 如 下 信息 


。 仓库 名 ; 

镜像 摘 述 ; 

用 户 评 价 (Stars) 一 反应 出 一 个 镜像 的 受 欢迎 程度 ; 

是 否 官方 (Official) 一 由 上 游 开 发 者 管理 的 镜像 fedora 镜像 
由 Fedora 团 队 管理 ) ; 

上 自动 构建 (Automated) 一 表示 这 个 镜像 是 由 Docker Hub 的 自动 构 
Æ (Automated Build) 流程 创建 的 。 


























本 要 本 我 们 将 在 本 章 后 面 对 自 动 构建 进行 更 详细 的 介绍 。 
让 我 们 从 上 面 的 结果 中 拉 取 一 个 镜像 ， 如 代码 清单 4-11 所 示 。 


代码 清单 4-11 拉 取 jamtur81/puppetmaster 镜像 


$ sudo docker pull jamtur@1/puppetmaster 


这 条 命令 将 会 下 载 jamtur61/puppetmaster 镜像 到 本 地 〈 这 个 镜像 里 














预 装 了 Puppet 主 服 务 器 ) 。 


接着 就 可 以 用 这 个 镜像 构建 一 个 容器 了 。 下 面 就 用 docker run 命令 来 


构建 一 个 容器 ， 入 代码 清单 4-12 所 示 。 
AR 





青 单 4-12 Puppet master 镜 像 创建 一 





$ sudo docker run -i -t jamtur@1/puppetmaster /bin/bash 


root@4655dee672d3:/# facter 
architecture => amd64 
augeasversion => 1.2.0 


root@4655dee672d3:/# puppet --version 
3.4.3 


个 容器 








可 以 看 到 ， 我 们 已 经 从 jamtur81/puppetmaster 镜像 启动 了 一 个 新 容 
器 。 我 们 以 交互 的 方式 启动 了 该 容器 ， 并 且 在 里 耐 运行 了 Bash shell. fF 
进入 容器 shell 之 后 ， 我 们 运行 了 Facter (Puppet 的 主机 探测 应 用 〉， 它 也 
是 预 安装 在 镜像 之 内 的 。 最 后 ， 在 容器 里 ， 我 们 运行 了 puppet 程序 以 








验证 Puppet 是 否 安 装 正常 。 


4.5 构建 镜像 


前 面 我 们 已 经 看 到 了 如 何 拉 取 已 经 构建 好 的 带 有 定制 内 容 的 Docker 镜 
像 ， 那 么 我 们 如 何 修改 自己 的 镜像 ， 并 且 更 新 和 管理 这 些 镜像 呢 ? 和 构建 
Docker 镜 像 有 以 下 两 种 方法 。 








e 使 用 docker commit 命 Ai a 
e 使 用 docker build 命令 和 Dockerfile 文件 。 


现在 我 们 并 不 推荐 使 用 docker commit 命令 ， 而 应 该 使 用 更 灵活 、 更 
强大 的 Dockerfile saunas 不 过 ， 为 了 对 Docker 有 一 个 更 
全 面 的 了 解 ， 我 们 还 是 会 先 介 绍 一 下 如 何 使 用 docker commit 构建 
Docker 镜 像 。 之 后 ， 我 们 将 重点 介 绍 Docker 折 推荐 的 镜像 构建 方法 : 编 
写 Dockerfile 之 后 使 用 docker build 命令 。 

















EEI 一 般 来 说 ， 我 们 不 是 真正 "创建 "新 镜像 ， 而 是 基于 一 个 已 有 的 基础 镜像 ， 如 ubuntu 
a ， 构 建新 镜像 而 已 。 如 果真 的 想 从 零 构建 一 个 全 新 的 镜像 ， 也 可 以 参 
考 https://docs. decker. com/articles/baseimages/ 。 












































4.5.1 创建 Docker Hub 账 号 


构建 镜像 中 很 重要 的 一 环 就 是 如 何 共享 和 发 布 镜像 。 Ay a l 
Docker Hub 或 者 用 户 自 己 的 私有 Registry 中 。 为 了 完成 这 项 工作 ， 

在 Docker Hub 上 创建 一 个 账号 ， 可 以 从 
https://hub.docker.com/account/signup/ 加 入 Docker Hub， 如 图 4-3 所 示 。 








why: OOcker whatis Docker? UseCases Tryilt Explore Install & Docs | Log In 





Create your Docker account 


Already have an account? Login instead. 


Username: 
B 


Required. 4 to 30 lower case characters. Letters and digits only. 


Password: 
Password confirmation: 
Enter the same password as above, for verification. 


Email: 


Mailing List: 


@ Subscribe to the Docker Weekly mailing list. 


o-oo 





图 4-3 ”创建 Docker Hub 账 号 
首先 需要 注册 一 个 账号 ， 并 在 注册 之 后 通过 收 到 的 确认 邮件 进行 激活 。 


下 面 就 可 以 测试 刚才 注册 的 账号 是 否 能 正常 工作 了 。 要 登录 到 Docker 
Hub， 可 以 使 用 docker login 命令 ， 如 代码 清单 4-13 所 示 。 


代码 清单 4-13 ”登录 到 Docker Hub 





$ sudo docker login 
Username: jamtur@1 
Password: 


Email: james@lovedthanlost.net 
Login Succeeded 





这 条 命令 将 会 完成 登录 到 Docker Hub 的 工作 ， 并 将 认证 信息 保存 起 来 以 


供 后 面 使 用 。 可 以 使 用 docker logout 命令 从 一 个 Registry 服 务 器 
tH 


EES 用 户 的 个 人 认证 信息 将 会 保存 到 $HOME/ .dockercfg 文件 中 。 从 Docker 1.7.0 开 始 ， 
已 经 变 成 $HOME/ .docker/config.json 。 




















4.5.2 ”用 Docker 的 commit 命令 创建 镜像 


创建 Docker 镜 像 的 第 一 种 方法 是 使 用 docker commit 命令 。 可 以 将 此 
想象 为 我 们 是 在 往 版 本 控制 系统 里 提交 变更 。 我 们 先 创 建 一 个 容器 ， 并 
| 就 像 修改 代码 一 样 ， 最 后 再 将 修改 提交 为 一 个 新 镜 


先 从 创建 一 个 新 容器 开始 ， 这 个 容器 基于 我 们 前 面 已 经 见 过 的 ubuntu 
镜像 ， 如 代码 清单 4-14 所 示 。 





代码 清单 4-14 ”创建 一 个 要 进行 修改 的 定制 容器 











$ sudo docker run -i -t ubuntu /bin/bash 
root@4aab3ce3cb76:/# 








接 下 来 ， 在 容器 中 安装 Apache， 如 代码 清单 4-15 所 示 。 


代码 清单 4-15 ”安装 Apache 软 件 包 











root@4aab3ce3cb76:/# apt-get -yqq update 


root@4aab3ce3cb76:/# apt-get -y install apache2 





我 们 局 动 了 一 个 容器 ， 并 在 里 面 安装 了 Apache。 我 们 会 将 这 个 容 需 作为 








一 个 Web 服 务 器 来 运行 ， 所 以 我 们 想 把 它 的 当前 状态 保存 下 来 。 这 样 就 
不 必 每 次 都 创建 一 个 新 容器 并 再 次 在 里 面 安 装 Apache 了 。 为 了 完成 此 项 
工作 ， 需要 先 使 用 exit 命 令 从 容器 里 退出 ， 之 后 再 运行 docker commit 
命令 ， 如 代码 清单 4-16 所 示 。 























代码 清单 4-16 “提交 定制 容器 


$ sudo docker commit 4aab3ce3cb76 jamtur61/apache2 
8ceG@ea7a1528 








可 以 看 到 ， 在 代码 清单 4-16 所 示 的 docker commit 命令 中 ， 指 定 了 要 

提交 的 修改 过 的 容器 的 ID 〈 可 以 通过 docker ps -1 -q 命令 得 到 了 刚 创 
建 的 容器 的 ID) ， 以 及 一 个 目标 镜像 仓库 和 镜像 名 ， 这 里 

是 jamtur81/apache2 。 需 要 注意 的 是 ，docker commit 提交 的 只 是 

创建 容器 的 镜像 与 容器 的 当前 状态 之 间 有 差异 的 部 分 ， 这 使 得 该 更 新 非 


常 轻 量 。 


来 看 看 新 创建 的 镜像 ， 如 代码 清单 4-17 所 示 。 


























代码 清单 4-17 检查 新 创建 的 镜像 




















$ sudo docker images jamtur@1/apache2 


jamtur@1/apache2 latest 8ce@ea7a1528 13 seconds ago 90.63 MB 





tH AY DAZE EAC BRIN ts EE CL Se) 来 详细 描述 所 做 的 修 
改 。 看 一 下 代码 清单 4-18 所 示 的 例子 。 








代码 清单 4-18 ”提交 男 一 个 新 的 定制 容 右 








$ sudo docker commit -m"A new custom image" -a"James Turnbull" \ 
4aab3ce3cb76 jamtur@1/apache2:webserver 


f99ebb6fed1F559258840505a0f5d5b617 3177623946815 366f 3e3acffOladef 





在 这 条 命令 里 ， 我 们 指定 了 更 多 的 信息 选项 。 首 先 -m 选项 用 来 指定 新 
创建 的 镜像 的 提交 信息 。 同 时 还 指定 了 --a 选项 ， 用 来 列 出 该 镜像 的 作 
者 信息 。 接 着 指定 了 想 要 提交 的 容器 的 ID。 最 后 的 jamture81/apache2 
aE SOURIS AAE, 并 为 该 镜像 增加 了 一 个 webserver 标 


wW oO 








可 以 用 docker inspect 命令 来 查看 新 创建 的 镜像 的 详细 信息 ， 如 代码 


清单 4-19 所 示 。 





代码 清单 4-19 ”查看 提交 的 镜像 的 详细 信息 





$ sudo docker inspect jamtur@1/apache2:webserver 
[{ 

"Architecture": "amd64", 

"Author": "James Turnbull", 


"Comment": "A new custom image", 





HY LA Mhttp://docs.docker.com/reference/commandline/cli/#commit 查看 docker commit 命 
令 的 所 有 选项 。 


如 果 想 从 刚 创 建 的 新 镜像 运行 一 个 容器 ， 可 以 使 用 docker run 命令， 
如 代码 清单 4-20 所 示 。 





代码 清单 4-20 ”从 提交 的 镜像 运行 一 个 新 容器 








$ sudo docker run -t -i jamtur@1/apache2:webserver /bin/bash 


可 以 看 出 ， 我 们 用 了 完整 标签 jamtur61/apache2:webserver 来 指定 
这 个 镜像 。 


4.5.3 ”用 Dockerfile 构建 镜像 


并 不 推荐 使 用 docker commit 的 方法 来 构建 镜像 。 相 反 ， 推 荐 使 用 被 
称 为 Dockerfile 的 定义 文件 和 docker build 命令 来 构建 镜 

像 。Dockerfile 使 用 基本 的 基于 DSL (Domain Specific Language)) if 
法 的 指令 来 构建 一 个 Docker 镜 像 ， 我 们 推荐 使 用 Dockerfile 方法 来 代 
蔡 docker commit ， 因 为 通过 前 者 来 构建 镜像 更 具备 可 重复 性 、 透 明 
EUR RETE. 


一 旦 有 了 Dockerfile， 我 们 就 可 以 使 用 docker build 命令 基于 该 
Dockerfile 中 的 指令 构建 一 个 新 的 镜像 。 








我 们 的 第 一 个 Dockerfile 


现在 就 让 我 们 创建 一 个 目录 并 在 里 面 创建 初始 的 Dockerfile 。 我 们 将 
创建 一 个 包含 简单 Web 服 务 器 的 Docker 镜 像 ， 如 代码 清单 4-21 所 示 。 


代码 清单 4-21 创建 一 个 示例 仓库 











$ mkdir static web 
$ cd static web 


$ touch Dockerfile 





我 们 创建 了 一 个 名 为 static_web 的 目录 用 来 保存 Dockerfile ， 这 个 
目录 就 是 我 们 的 构建 环境 (build environment) ，Docker 则 称 此 环境 为 
EFX Ccontext) 或 者 构建 上 和 下文 (build context) 。Docker 会 在 构建 镜 
像 时 将 构建 上 下 文 和 该 上 下 文中 的 文件 和 目录 上 传 到 Docker 守 护 进 程 。 
这 样 Docker 守 护 进程 就 能 直接 访问 用 户 想 在 镜像 中 存储 的 任何 代码 、 文 
件 或 者 其 他 数据 。 


作为 开始 ， 我 们 还 创建 了 一 个 空 Dockerfile ， 下 面 就 通过 一 个 例子 来 
看 看 如 何 通 过 Dockerfile 构建 一 个 能 作为 Web 服 务 器 的 Docker 镜 像 ， 
如 代码 清单 4-22 所 示 。 








代码 清单 4-22 ”我 们 的 第 一 个 Dockerfile 








# Version: 0.0.1 

FROM ubuntu:14.04 

MAINTAINER James Turnbull "james@example.com" 
RUN apt-get update && apt-get install -y nginx 


RUN echo ‘Hi, I am in your container’ \ 
>/usr/share/nginx/html/index.html 
EXPOSE 80 





该 Dockerfile 由 一 系列 指令 和 参数 组 成 。 每 条 指令 ， 如 FROM ， 都 必须 
为 大 写字 母 ， 且 后 面 要 跟随 一 个 参数 : FROM ubuntu:14.04 
。Dockerfile 中 的 指令 会 按 顺 序 从 上 到 下 执行 ， 所 以 应 该 根据 需要 合 
理 安 排 指 令 的 顺序 。 











每 条 指令 都 会 创建 一 个 新 的 镜像 层 并 对 镜像 进行 提交 。Docker 大 体 上 按 
照 如 下 流程 执行 Dockerfile 中 的 指令 。 


© Docker 从 基础 镜像 运行 一 个 容 占 。 

。 执行 一 条 指令 ， 对 容器 做 出 修改 。 

e 执行 类 似 docker commit 的 操作 ， 提 交 一 个 新 的 镜像 层 。 

。 Docker 再 基于 刚 提 交 的 镜像 运行 一 个 新 容器 。 

。 执行 Dockerfile 中 的 下 一 条 指令 ， 直 到 所 有 指令 都 执行 完毕 。 


从 上 面 也 可 以 看 出 ， 如 果 用 户 的 Dockerfile 由 于 某 些 原因 《如 某 条 指 
令 失 败 了 ) 没有 正 币 结束 ， 那 么 用 户 将 得 到 了 一 个 可 以 使 用 的 镜像 。 这 
对 调试 非常 有 帮助 : 可 以 基于 该 镜像 运行 一 个 具备 交互 功能 的 容器 ， 使 
用 最 后 创建 的 镜像 对 为 什么 用 户 的 指令 会 失败 进行 调试 。 


Dockerfile 也 支持 注释 。 以 # 开 头 的 行 都 会 被 认为 是 注释 ， 代 码 清单 4-22 所 示 的 
Dockerfile 中 第 一 行 就 是 注释 的 例子 。 



























































每 个 Dockerfile 的 第 一 条 指令 必须 是 FROM 。FROM 指令 指定 一 个 已 经 
存在 的 镜像 ， 后 续 指 令 都 将 基于 该 镜像 进行 ， 这 个 镜像 被 称 为 基础 镜像 


(base iamge) 。 


在 前 面 的 Dockerfile 示例 里 ， 我 们 指定 了 ubuntu:14.64 作为 新 镜像 
的 基础 镜像 。 基 于 这 个 Dockerfile 构建 的 新 镜像 将 以 Ubuntu 14.04 操 
在 运行 一 个 容器 时 ， 必 须要 指明 是 基于 哪个 基础 镜像 在 
进行 构建 。 


ATRE SMAINTAINER 指令 ， 这 条 指令 会 告诉 Docker 该 镜像 的 作者 是 
谁 ， 以 及 作者 的 电子 邮件 地 址 。 这 有 助 于 标识 镜像 的 所 有 者 和 联系 方 


式 。 


在 这 些 指 令 之 后 ， 我 们 指定 了 两 条 RUN 指令 。RUN 指令 会 在 当前 镜像 中 
运行 指定 的 命令 。 在 这 个 例子 里 ， 我 们 通过 RUN 指令 更 新 了 已 经 安装 的 
APT 人 仓库， 安装 了 nginx 包 ， 之 后 创建 

J /usr/share/nginx/html/index.html 文件 ， 该 文件 有 一 些 简单 的 
示例 文本 。 像 前 面 说 的 那样 ， 每 条 RUN 指令 都 会 创建 一 个 新 的 镜像 层 ， 
如 果 该 指令 执行 成 功 ， 就 会 将 此 镜像 层 提交 ， 之 后 继续 执 

行 Dockerfile 中 的 下 一 条 指令 。 








默认 情况 下 ，RUN 指令 会 在 shell 里 使 用 命令 包装 器 /bin/sh -c 来 执 

行 。 如 果 是 在 一 个 不 支持 shell 的 平台 上 运行 或 者 不 希望 在 shell 中 运行 
(比如 避免 shell 字 符 串 算 改 ) ， 也 可 以 使 用 exec 格式 的 RUN 指令 ， 如 
代码 清单 4-23 所 示 。 





代码 清单 4-23” exec 格式 的 RUN 指令 





RUN [ "apt-get", " install", "-y", "nginx" ] 











在 这 种 方式 中 ， 我 们 使 用 一 个 数组 来 指定 要 运行 的 命令 和 传递 给 该 命令 
的 每 个 参数 。 


接着 设置 了 EXPOSE 指令 ， 这 条 指令 告诉 Docker 该 容器 内 的 应 用 程序 将 
会 使 用 容器 的 指定 端口 。 这 并 不 意味 着 可 以 自动 访问 任意 容器 运行 中 服 
务 的 端口 〈 这 里 是 88 ) 。 出 于 安全 的 原因 ，Docker 并 不 会 自动 打开 该 
端口 ， 而 是 需要 用 户 在 使 用 docker run 运行 容器 时 来 指定 需要 打开 哪 
些 端口 。 一 会 儿 我 们 将 会 看 到 如 何 从 这 一 镜像 创建 一 个 新 容器 。 


可 以 指定 多 个 EXPOSE 指令 来 回 外 部 公开 多 个 端口 。 
EEJ Docker {tH EXPOSE 指令 来 帮助 将 多 个 容器 链接 ， 我 们 将 在 第 5 章 学 习 到 相关 内 容 。 用 
户 可 以 在 运行 时 以 docker run 命令 通过 - -expose 选项 来 指定 对 外 部 公开 的 端口 。 


4.5.4 基于 Dockerfile 构建 新 镜像 


执行 docker build 命令 时 ，Dockerfile 中 的 所 有 指令 都 会 被 执行 并 
且 提 交 ， 并 且 在 该 命令 成 功 结束 后 返回 一 个 新 镜像 。 下 面 就 来 看 看 如 何 
构建 一 个 新 镜像 ， 如 代码 清单 4-24 所 示 。 














代码 清单 4-24 运行 Dockerfile 





$ cd static web 

$ sudo docker build -t="jamtur@1/static_web"” . 

Sending build context to Docker daemon 2.56 kB 

Sending build context to Docker daemon 

Step @ : FROM ubuntu:14.04 
---> ba5877dc9bec 

Step 1 : MAINTAINER James Turnbull "james@example.com" 
---> Running in b8ffa@6f9274 


---> 4c66c9dcee35 
Removing intermediate container b8ffa66f9274 
Step 2 : RUN apt-get update 

---> Running in £331636c84f7 

---> 9d938b9e9090 
Removing intermediate container £331636c84f7 
Step 3 : RUN apt-get install -y nginx 

---> Running in 4b989d473@dd 

---> 93fb186f3bc9 
Removing intermediate container 4b989d473@dd 
Step 4 : RUN echo ‘Hi, I am in your container’ >/usr/share/ 

nginx/html/index. html 

---> Running in b51bacc46eb9 

---> b584f4acidef 
Removing intermediate container b51bacc46eb9 
Step 5 : EXPOSE 80 

---> Running in 7ff423bd1f4d 

---> 22d47c8cb6e5 
Successfully built 22d47c8cb6e5 





我 们 使 用 了 docker build 命令 来 构建 新 镜像 。 我 们 通过 指定 -t 选项 为 
新 镜像 设置 了 仓库 和 名 称 ， 本 例 中 仓库 为 jamture1 , 锐 像 名 








为 static_web 。 强 烈 建议 各 位 为 自己 的 镜像 设置 合适 的 名 字 以 方便 追 
踪 和 管理 


也 可 以 在 构建 镜像 的 过 程 中 为 镜像 设置 一 个 标签 ， 其 使 用 方法 为 “镜像 
名 :标签 ”， 如 代码 清单 4-25 所 示 。 




















代码 清单 4-25 在 构建 时 为 镜像 设置 标签 














$ sudo docker build -t="jamtur@1/static_web:v1" 








如 果 没 有 制定 任何 标签 ，Docker 将 会 自动 为 镜像 设置 一 个 latest 标签 。 


上 面 命令 中 最 后 的 .告诉 Docker 到 本 地 目录 中 去 找 Dockerfile 文件 。 也 
可 以 指定 一 个 Git 仓 库 的 源 地 址 来 指定 Dockerfile 的 位 置 ， 如 代码 清单 
4-26 所 示 。 














代码 清单 4-26 ”从 Git 仓 库 构 建 Docker 镜 像 








$ sudo docker build -t="jamtur@1/static_web:v1" \ 
git@github.com:jamtur@1/docker-static_web 








这 里 Docker 假 设 在 这 个 Git 仓 库 的 根 目 录 下 存在 Dockerfile 文件 。 

ERAS 自 Docker 1.5.0 开 始 ， 也 可 以 通过 -f 标志 指定 一 个 区 别 于 标准 Dockerfile 的 构建 源 的 位 
H. ølin, dockerbuild-t"jamturð1/static_- web" -f path/to/file ， 这 个 文件 可 以 
不 必 命 名 为 Dockerfile， 但 是 必须 要 位 于 构建 上 下 文 之 中 。 


再 回 到 docker build 过 程 。 可 以 看 到 构建 上 下 文 已 经 上 传 到 了 Docker 
守护 进程 ， 如 代码 清单 4-27 所 示 。 


代码 清单 4-27 将 构建 上 下 文 上 传 到 Docker 守 护 进 程 





























Sending build context to Docker daemon 2.56 kB 
Sending build context to Docker daemon 

















E 如 果 在 构建 上 下 文 的 根 目 录 下 存在 以 .dockerignore 命名 的 文件 的 话 ， 那 么 该 文件 内 
容 会 被 按 行 进行 分 割 ， 每 一 行 都 是 一 条 文件 过 滤 匹配 模式 。 这 非常 像 .gitignore 文件 ， 该 文 
件 用 来 设置 哪些 文件 不 会 被 当 作 构建 上 下 文 的 一 部 分 ， 因 此 可 以 防止 它们 被 上 传 到 Docker 守 
护 进程 中 去 。 该 文件 中 模式 的 匹配 规则 采用 了 Go 语言 中 的 flepath D 。 


之 后 ， 可 以 看 到 Dockerfile 中 的 每 条 指令 会 被 顺序 执行 ， 而 且 作 为 构 
建 过 程 的 最 终结 果 ， 人 返回 了 新 镜像 的 ID， 即 22d47c8cb6e5 。 构 建 的 每 
一 步 及 其 对 应 指令 都 会 独立 运行 ， 并 且 在 输出 最 终 镜像 ID 之 前 ，Docker 
会 提交 每 步 的 构建 结 


45.5 ”指令 失败 时 会 怎样 


前 面 介绍 了 一 个 指令 失败 时 将 会 怎样 。 下 面 来 看 一 个 例子 : 假设 我 们 在 
第 4 步 中 将 软件 包 的 名 字 弄 错 了 ， 比 如 写成 了 ngin 。 


再 来 运行 一 过 构建 过 程 并 看 看 当 指令 失败 时 会 怎样 ， 如 代码 清单 4-28 所 
ZN o 
































代码 清单 4-28 管理 失败 的 指令 





$ cd static_web 
$ sudo docker build -t="Jjamtur61/static web" . 
Sending build context to Docker daemon 2.56 kB 
Sending build context to Docker daemon 
Step 1 : FROM ubuntu:14.04 
---> 8dbd9e392a96 
Step 2 : MAINTAINER James Turnbull "james@example.com" 
---> Running in d97e@c1cf6ea 
---> 85130977028d 


Step 3 : RUN apt-get update 
---> Running in 85130977028d 


---> 997485f46ec4 

Step 4 : RUN apt-get install -y nginx 
---> Running in ffca16d58fd8 

Reading package lists... 

Building dependency tree... 

Reading state information... 

E: Unable to locate package ngin 

2014/06/04 18:41:11 The command [/bin/sh -c apt-get install -y 
ngin] returned a non-zero code: 100 





这 时 候 我 需要 调试 一 下 这 次 失败 。 我 可 以 用 docker run 命令 来 基于 这 
次 构建 到 目前 为 止 已 经 成 功 的 最 后 一 步 创建 一 个 容器 ， 在 这 个 例子 里 ， 
使 用 的 镜像 ID 是 997485f46ec4 ， 如 代码 清单 4-29 所 示 。 


代码 清单 4-29 ”基于 最 后 的 成 功 步 又 创建 新 容器 

















$ sudo docker run -t -i 997485f46ec4 /bin/bash 
dcge12e59fe8: /# 





这 时 在 这 个 容器 中 我 可 以 再 次 运行 apt-get install -y ngin ， 并 指 
定 正 确 的 包 名 ， 或 者 通过 进一步 调试 来 找 出 到 底 是 哪里 出 错 了 。 一 旦 解 
决 了 这 个 问题 ， 就 可 以 退出 容器 ， 使 用 正确 的 包 名 修改 Dockerfile X 
件 ， 之 后 再 尝试 进行 构建 。 


4.5.6 Dockerfile 和 构建 缓存 


由 于 每 一 步 的 构建 过 程 都 会 将 结果 提 区 为 镜像 ， 所 以 Docker 的 构建 镜像 
过 程 就 显得 非常 聪明 。 它 会 将 之 前 的 镜像 层 看 作 缓存 。 比 如 ， 在 我 们 的 











调试 例子 里 ， 我 们 不 需要 在 第 1 步 到 第 3 步 之 间 进 行 任 何 修改 ， 因 此 
Docker 会 将 之 前 构建 时 创建 的 镜像 当做 缓存 并 作为 新 的 开始 点 。 实 际 
上 ， 当 再 次 进行 构建 时 ，Docker 会 直接 从 第 4 步 开 始 。 当 之 前 的 构建 步 
又 没有 变化 时 ， 这 会 节省 大 量 的 时 间 。 如 果真 的 在 第 1 步 到 第 3 步 之 则 做 
了 什么 修改 ，Docker 则 会 从 第 一 条 发 生 了 变化 的 指令 开始 。 


然而 ， 有 些 时 候 需 要 确保 构建 过 程 不 会 使 用 缓存 。 比 如 ， 如 果 已 经 缓存 
了 前 面 的 第 3 步 ， 即 apt-get update ， 那 么 Docker 将 不 会 再 次 刷新 
APT 包 的 缓存 。 这 时 用 户 可 能 需要 取得 每 个 包 的 最 新 版 本 。 要 想 略 过 组 
存 功 能 ， 可 以 使 用 docker build 的 --no-cache 标志 ， 如 代码 清单 4- 
30 所 示 。 














代码 清单 4-30 ”忽略 Dockerfile 的 构建 缓存 





$ sudo docker build --no-cache -t="jamtur@1/static_web" . 





4.5.7 ”基于 构建 缓存 的 Dockerfile 模板 


构建 缓存 带 来 的 一 个 好 处 就 是 ， 我 们 可 以 实现 简单 的 Dockerfile 模板 
(比如 在 Dockerfile 文件 顶部 增加 包 仓 库 或 者 更 新 包 ， 从 而 尽 可 能 确 

保 缓存 命中 ) 。 我 一 般 都 会 在 自己 的 Dockerfile 文件 项 部 使 用 相同 的 
站 令 集 模板 ， 比 如 对 Ubuntu， 使 用 代码 清单 4-31 所 示 的 模版 。 


代码 清单 4-31 Ubuntu 系 统 的 Dockerfile 模板 





FROM ubuntu:14.04 
MAINTAINER James Turnbull "james@example.com" 
ENV REFRESHED_AT 2014-07-01 


RUN apt-get -qq update 





让 我 们 一 步 步 来 分 析 一 下 这 个 新 的 Dockerfile 。 首 先 ， 我 通过 FROM 指 
令 为 新 镜像 设置 了 一 个 基础 镜像 ubuntu:14.64 。 接 着 ， 我 又 使 

用 MAINTAINER 指令 添加 了 自己 的 详细 联系 信息 。 之 后 我 又 使 用 了 一 条 
新 出 现 的 指令 ENV 来 在 镜像 中 设置 环境 变量 。 在 这 个 例子 里 ， 我 通过 
ENV 指令 来 设置 了 一 个 名 为 REFRESHED_AT 的 环境 变量 ， 这 个 环境 变量 














用 来 表明 该 镜像 模板 最 后 的 更 新 时 间 。 最 后 ， 我 使 用 了 RUN 指令 来 运 
行 apt-get -qq update 命令 。 访 指令 运行 时 将 会 刷新 APT 包 的 缓存 ， 
用 来 确保 我 们 能 将 要 安装 的 每 个 软件 包 都 更 新 到 最 新 版 本 。 


有 了 这 个 模板 ， 如 果 想 刷新 一 个 构建 ， 只 需 修 改 ENV 指令 中 的 日 期 。 这 
使 Docker 在 命中 ENV 指令 时 开始 重 置 这 个 缓存 ， 并 运行 后 续 指 令 而 无 须 
依赖 该 缓存 。 也 就 是 说 ，RUN apt-get update 这 条 指令 将 会 被 再 次 执 
行 ， 包 缓存 也 将 会 被 刷新 为 最 新 内 容 。 可 以 扩展 此 模板 ， 比 如 适 配 到 不 
同 的 平台 或 者 添加 额外 的 需求 。 比 如 ， 可 以 像 代码 清单 4-32 这 样 来 文 持 


一 个 fedora 镜像 。 








代码 清单 4-32 Fedora Dockerfile 模板 





FROM fedora:26 
MAINTAINER James Turnbull "james@example.com" 
ENV REFRESHED_AT 2014-07-01 


RUN yum -q makecache 





在 Fedora 中 使 用 Yum 实 现 了 与 上 面 的 Ubuntu 例子 中 非常 类 似 的 功能 。 
45.8 查看 新 镜像 


现在 来 看 一 下 新 构建 的 镜像 。 这 可 以 使 用 docker images 命令 来 完 
成 ， 如 代码 清单 4-33 所 示 。 


代码 清单 4-33” 列 出 新 的 Docker 镜 像 








$ sudo docker images jamtur@1/static_web 
REPOSITORY TAG ID CREATED SIZE 
jamtur@1/static_web latest 22d47c8cb6e5 24 seconds ago 12.29 kB 


(virtual 326 MB) 








如 果 想 深入 探求 镜像 是 如 何 构建 出 来 的 ， 可 以 使 用 docker history fit 
令 ， 如 代码 清单 4-34 所 示 。 





代码 清单 4-34 使 用 docker history 命令 





$ sudo docker history 22d47c8cb6e5 

IMAGE CREATED CREATED BY 

SIZE 

22d47c8cb6e5 6 minutes ago /bin/sh -c #(nop) EXPOSE map[8@/tcp:{}] 6 
B 

b584f4acidef 6 minutes ago /bin/sh -c echo 'Hi, I am in your container’ 27 
B 

93fb180F3bc9 6 minutes ago /bin/sh -c apt-get install -y nginx 18.46 
MB 

9d938b9e0098 6 minutes ago /bin/sh -c apt-get update 20.02 
MB 

4c66c9dcee35 6 minutes ago /bin/sh -c #(nop) MAINTAINER James Turnbull " 
6 B 





从 上 面 的 结果 可 以 看 到 新 构建 的 jamtur81/static_web 镜像 的 每 一 


层 ， 以 及 创建 这 些 层 的 Dockerfile 指令 。 
4.5.9 ”从 新 镜像 启动 容器 


我 们 也 可 以 基于 新 构建 的 镜像 月 动 一 个 新 容器 ， 来 检查 一 下 我 们 的 构建 
工作 是 否 一切 正 常 ， 如 代码 清 蛙 4-35 所 示 。 


代码 清单 4-35 ”从 新 镜像 启动 一 个 容器 




















$ sudo docker run -d -p 80 --name static web jamtur81/static web \ 
nginx -g "daemon off;" 


6751b94bb5c001a650c918e9a7F9683985c 3eb2b026c2F1776e61190669494a8 





在 这 里 ， 我 使 用 docker run 命令 ， 基 于 刚才 构建 的 镜像 的 名 字 ， 局 动 
J= 个 名 为 static_ web 的 新 容器 。 我 们 同时 指定 了 -d 选项 ， 告 诉 
Docker 以 分 离 〈detached) 的 方式 在 后 台 运行 。 这 种 方式 非常 适合 运行 
关 似 Nginx 守 护 进程 这 样 的 需 站 要 长 时 间 运 行 的 进程 。 我 们 也 指定 了 需要 
在 容器 中 运行 的 命令 : nginx -g "daemon off;"”。 这 将 以 前 台 运 行 
的 方式 启动 Nginx， 来 作为 我 们 的 Web 服 务 器 。 


我 们 这 里 也 使 用 了 一 个 新 的 - p 7 标志 ， 该 标志 用 来 控制 Docker 在 运行 时 
应 该 公开 哪些 网 络 端口 给 外 部 〈 和 宿主 机 ) 。 运 行 一 个 容器 时 ，Docker 可 





以 通过 两 种 方法 来 在 宿主 机 上 分 配 并 口 。 


e Docker 可 以 在 答 主 机 上 随机 选择 一 个 位 于 32768 ~61000 的 一 个 比 
较 大 的 端口 号 来 映射 到 容器 中 的 8 端口 上 。 

e 可 以 在 Docker 箱 主机 中 指定 一 个 具体 的 端口 号 来 映射 到 容 毁 中 的 86 
ti Ok. 





docker run 命令 将 在 Docker 窒 主机 上 随机 打开 一 个 端口 ， 这 个 端口 会 
连接 到 容器 中 的 8 端口 上 。 


使 用 docker ps 命令 来 看 一 下 容 占 的 端口 分 配 情 况 ， 如 代码 清单 4-36 所 
A 




















代码 清单 4-36 ”查看 Docker 端 口 映 射 情 况 




















$ sudo docker ps -1 
CONTAINER ID IMAGE ... PORTS 
NAMES 


6751b94bb5cQ@ jamtur@1/static_web:latest ... 0.0.0.0:49154->80/ 
tcp static_web 





可 以 看 到 ， 容 右 中 的 8 端口 被 映射 到 了 窒 主 机 的 49154 上 。 我 们 也 可 
以 通过 docker port 来 查看 容器 的 端口 映射 情况 ， 如 代码 清单 4-37 所 
ZN o 





代码 清单 4-37 docker port 命令 





$ sudo docker port 6751b94bb5c@ 80 
0.0.0.0:49154 





在 上 面 的 命令 中 我 们 指定 了 想 要 查看 映射 情况 的 容器 的 ID 和 容器 的 端口 
号 ， 这 里 是 886 。 该 命令 返回 了 答 主 机 中 映射 的 端口 ， 即 49154 。 


或 者 ， 我 们 也 可 以 使 用 容器 名 ， 如 代码 清单 4-38 所 示 。 


代码 清单 4-38 ”通过 -p 选项 映射 到 特定 端口 








$ sudo docker port static_web 80 
@.0.0.0:49154 





-p 选项 还 为 我 们 在 将 容器 端口 同 答 主机 公开 时 提供 了 一 定 的 灵活 性 。 
比如 ， 可 以 指定 将 容器 中 的 端口 映射 到 Docker 箱 主机 的 某 一 特定 端口 
上 ， 如 代码 清单 4-39 所 示 。 





代码 清单 4-39 通过 -p 选项 映射 到 特定 端口 








$ sudo docker run -d -p 80:80 --name static web jamtur61/static web \ 
nginx -g "daemon off;" 





上 面 的 命令 会 将 容器 内 的 80 端 口 绑 定 到 本 地 宿主 机 的 80 端 口上 。 很 明 
显 ， 我 们 必须 非常 小 心地 使 用 这 种 直接 绑 定 的 做 法 : 如 果 要 运行 多 个 容 
器 ， 只 有 一 个 容器 能 成 功 地 将 端口 绑 定 到 本 地 和 宿主 机 上 。 这 将 会 限制 
Docker 的 灵活 性 。 


为 了 避免 这 个 问题 ， 可 以 将 容 堪 内 的 端口 绑 定 到 不 同 的 箱 主 机 问 口 上 


去 ， 如 代码 清单 4-40 所 示 。 











代码 清单 440 绑 定 不 同 的 端口 











$ sudo docker run -d- p 8080:80 --name static_web jamtur@1/static_web \ 
nginx -g "daemon off;" 





这 条 命令 会 将 容器 中 的 80 端 口 绑 定 到 宿主 机 的 8080 端 口上 。 


我 们 也 可 以 将 端口 绑 定 限制 在 特定 的 网 络 接口 〈 即 卫 地 址 ) 上 ， 如 代码 
清单 4-41 所 示 。 











代码 清单 4-41 绑 定 到 特定 的 网 络 接口 





$ sudo docker run -d -p 127.0.0.1:80:80 --name static_web 
jamtur@1/static_web \ 
nginx -g "daemon off;" 


pT 


这 里 ， 我 们 将 容器 内 的 80 端 口 绑 定 到 了 本 地 宿主 机 的 127 .60.0.1 这 个 IP 
的 80 端 口上 。 我 们 也 可 以 使 用 类 似 的 方式 将 容器 内 的 80 端 口 绑 定 到 一 个 
宿主 机 的 随机 端口 上 ， 如 代码 清单 4-42 所 示 。 


代码 清单 4-42 绑 定 到 特定 的 网 络 接口 的 随机 端口 


























$ sudo docker run -d -p 127.0.0.1::80 --name static web 
jamtur@1/static_web \ 


nginx -g "daemon off;" 





这 里 ， 我 们 并 没有 指定 具体 要 绑 定 的 宿主 机 上 的 端口 号 ， 只 指定 了 一 个 
IP 地 址 127.6.6.1 ， 这 时 我 们 可 以 使 用 docker inspect 或 者 docker 
port 命令 来 得 看 容 堪 内 的 80 问 口 具 体 被 绑 定 到 了 宿主 机 的 哪个 端 


o 








A ty BE O EME /udp 后 级 来 指定 UDP 端口 。 


Docker 还 提供 了 一 个 更 简单 的 方式 ， 即 -P 参数 ， 该 参数 可 以 用 来 对 外 
公开 在 Dockerfile 中 通过 EXPOSE 指令 公开 的 所 有 端口 ， 如 代码 清单 4- 
43 上 所 示 。 








代码 清单 4-43 ”使 用 docker run 命令 对 外 公开 端口 























$ sudo docker run -d -P --name static_web jamtur@1/static_web \ 
nginx -g "daemon off;" 





该 命令 会 将 容器 内 的 80 端 口 对 本 地 宿主 机 公开 ， 并 且 绑 定 到 宿主 机 的 一 
个 随机 端口 上 。 该 命令 会 将 用 来 构建 该 镜像 的 Dockerfile 文件 中 
EXPOSE 指令 指定 的 其 他 端口 也 一 并 公开 。 


可 以 从 http://docs.docker.com/userguide/dockerlinks/#network-port-mapping-refresher 获得 
更 多 关于 端口 重 定 回 的 信息 。 


有 了 这 个 端口 号 ， 就 可 以 使 用 本 地 宿主 机 的 耳 地 址 或 者 127.6.6.1 的 








localhost 连接 到 运行 中 的 容器 ， 碍 看 Web 服 务 器 内 容 了 ， 入 代码 清单 
4-44 TAR 0 


代码 清单 4-44 使 用 curl 连接 到 容器 





$ curl localhost:49154 
Hi, I am in your container 





可 以 通过 ifconfig 或 者 ip addr 命令 来 查看 本 地 宿主 机 的 IP 地 址 。 


这 是 就 得 到 了 一 个 非常 简单 的 基于 Docker 的 Web 服 务 器 。 























4.5.10 Dockerfile 指令 


我 们 已 经 看 过 了 一 些 Dockerfile 中 可 用 的 指令 ， 如 RUN 和 EXPOSE 。 但 
是 ， 实 际 上 还 可 以 在 Dockerfile 中 放 入 很 多 其 他 指令 ， 这 些 指令 包括 
CMD 、ENTRYPOINT ~ ADD . COPY ~ VOLUME ~ WORKDIR 、USER 

~ ONBUILD ~ LABEL . STOPSIGNAL . ARG 和 ENV 等 。 可 以 
fEhttp://docs.docker.com/ reference /builder/ #4 Dockerfile 中 可 以 使 用 
的 全 部 指令 的 清单 。 


在 后 面 的 几 章 中 我 们 还 会 学 到 更 多 关于 Dockerfile 的 知识 ， 并 了 解 如 
何 将 非常 酪 的 应 用 程序 打包 到 Docker 容 器 中 去 。 


1. CMD 


CMD 指令 用 于 指定 一 个 容器 启动 时 要 运行 的 命令 。 这 有 点 儿 类 似 于 RUN 
指令 ， 只 是 RUN 指令 是 指定 镜像 被 构建 时 要 运行 的 命令 ， 而 CMD 是 指定 
容器 被 启动 时 要 运行 的 命令 。 这 和 使 用 docker run 命令 启动 容器 时 指 
定 要 运行 的 命令 非常 类 似 ， 比 如 代码 清单 4-45 所 示 。 


代码 清单 445 ”指定 要 运行 的 特定 命令 


$ sudo docker run -i -t jamtur@1/static_web /bin/true 


可 以 认为 代码 清单 4-45 所 示 的 命令 和 在 Dockerfile 中 使 用 代码 清单 4- 











46 所 示 的 CMD 指令 是 等 效 的 。 


代码 清单 4-46 ”使 用 CMD 指令 








CMD ["/bin/true" ] 


当然 也 可 以 为 要 运行 的 命令 指定 参数 ， 如 代码 清单 4-47 所 示 。 


代码 清单 4-47 给 CMD 指令 传递 参数 

















CMD ["/bin/bash", "-1"] 


这 里 我 们 将 -1 标志 传递 给 了 /bin/bash 命令 。 

GRD 需要 注意 的 是 ， 要 运行 的 命令 是 存放 在 一 个 数组 结构 中 的 。 这 将 告诉 Docker 按 指定 的 原 
样 来 运行 该 命令 。 当 然 也 可 以 不 使 用 数组 而 是 指定 cMD 指令 ， 这 时 候 Docker 会 在 指定 的 命令 前 
加 上 /bin/sh -c 。 这 在 执行 该 命令 的 时 候 可 能 会 导致 意料 之 外 的 行为 ， 所 以 Docker 推 荐 一 直 
使 用 以 数组 语法 来 设置 要 执行 的 命令 。 


最 后 ， 还 需 牢 记 ， 使 用 docker run 命令 可 以 履 盖 CMD 指令 。 如 果 我 们 
在 Dockerfile 里 指定 了 CMD 指令 ， 而 同时 在 docker run 命令 行 中 也 
指定 了 要 运行 的 命令 ， 命 令 行 中 指定 的 命令 会 履 盖 Dockerfile 中 的 
CMD 指令 。 



























































EES 深刻 理解 CMD 和 ENTRYPOINT 之 间 的 相互 作用 关系 也 非常 重要 ， 我 们 将 在 后 面 对 此 进行 
更 详细 的 说 明 。 





让 我 们 来 更 贴近 一 步 来 看 看 这 一 过 程 。 假 设 我 们 的 Dockerfile 文件 中 
有 代码 清单 4-48 所 示 的 CMD 指令 。 




















代码 清单 448 履 盖 Dockerfile 文件 中 的 CMD 指令 











CMD [ "/bin/bash" ] 


可 以 使 用 docker build 命令 构建 一 个 新 镜像 (假设 镜像 名 为 


jamturð1/test) ， 并 基于 此 镜像 启动 一 个 新 容器 ， 如 代码 清单 4-49 
ARAB © 


代码 清单 4-49 用 CMD 指令 启动 容器 


$ sudo docker run -t -i jamtur61/test 
root@e643e6218589:/ #_ 





注意 到 有 什么 不 一 样 的 地 方 了 吗 ? 在 docker run 命令 的 末尾 我 们 并 未 
指定 要 运行 什么 命令 。 实 际 上 ，Docker 使 用 了 CMD 指令 中 指定 的 命令 。 


如 果 我 指定 了 要 运行 的 命令 会 怎样 呢 ? 如 代码 清单 4-50 所 示 。 


代码 清单 4-50 履 盖 本 地 命令 




















$ sudo docker run -i -t jamtur@1/test /bin/ps 
PID TTY TIME CMD 
1 ? 00:00:00 ps 


$ 





可 以 看 到 ， 在 这 里 我 们 指定 了 想 要 运行 的 命令 /bin/ps ， 该 命令 会 列 出 
所 有 正在 运行 的 进程 。 在 这 个 例子 里 ， 容 器 并 没有 局 动 shell， 而 是 通过 
命令 行 参数 覆盖 了 CMD 指令 中 指定 的 命令 ， 容 融 运 行 后 列 出 了 正在 运行 
的 进程 的 列表 ， 之 后 停止 了 容 兹 。 

要 于 在 Dockerfile 中 只 能 指定 一 条 CMD 指令 。 如 果 指 定 了 多 条 CMD 指令 ， 也 只 有 最 后 一 


条 CMD 指令 会 被 使 用 。 如 果 想 在 启动 容器 时 运行 多 个 进程 或 者 多 条 命令 ， 可 以 考虑 使 用 类 似 
Supervisor 这 样 的 服务 管理 工具 。 






































2. ENTRYPOINT 


ENTRYPOINT 指令 与 CMD 指令 非常 类 似 ， 也 很 容易 和 CMD 指令 弄 混 。 这 
两 个 指令 到 底 有 什么 区 别 呢 ?” 为 什么 要 同时 保留 这 两 条 指令 ?正如 我 们 
已 经 了 解 到 的 那样 ， 我 们 可 以 在 docker run 命令 行 中 禾 尊 CMD 指令 。 

有 时 候 ， 我 们 希望 容器 会 按照 我 们 想象 的 那样 去 工作 ， 这 时 候 CMD 就 不 
太 合 适 了 。 而 ENTRYPOINT 指令 提供 的 命令 则 不 容易 在 启动 容器 时 被 覆 
Mo XERE, docker run 命令 行 中 指定 的 任何 参数 都 会 被 当做 参数 再 





次 传递 给 ENTRYPOINT 指令 中 指定 的 命令 。 让 我 们 来 看 一 
个 ENTRYPOINT 指令 的 例子 ， 如 代码 清单 4-51 所 示 。 


代码 清单 4-51 指定 ENTRYPOINT 指令 


ENTRYPOINT ["/usr/sbin/nginx" | 


类 似 于 CMD 指令 ， 我 们 也 可 以 在 该 指令 中 通过 数组 的 方式 为 命令 指定 相 
应 的 参数 ， 如 代码 清 蛙 4-52 所 示 。 




















代码 清单 4-52 ”为 ENTRYPOINT 指令 指定 参数 








ENTRYPOINT ["/usr/sbin/nginx", "-g", "daemon off;"] 











从 上 面 看 到 的 CMD 指令 可 以 看 到 ， 我 们 通过 以 数组 的 方式 指定 ENTRYPOINT 在 想 运行 的 
命令 前 加 入 /bin/sh -c 来 避免 各 种 问题 。 


现在 重新 构建 我 们 的 镜像 ， 并 将 ENTRYPOINT 设置 为 ENTRYPOINT 
["/usr/sbin/ nginx"] ， 如 代码 清单 4-53 所 示 。 


代码 清单 4-53 ”用 新 的 ENTRYPOINT 指令 重新 构建 static_web 镜像 


$ sudo docker build -t="jamtur@1/static_web"” . 


Kia, Sl Mjamture1/static web 镜像 启动 一 个 新 容器 ， 如 代码 清 
单 4-54 所 示 。 






































代码 清单 4-54 使 用 docker run 命令 启动 包含 ENTRYPOINT 指令 的 容器 


$ sudo docker run -t -i jamtur@1/static_web -g "daemon off;" 


从 上 面 可 以 看 到 ， 我 们 重新 构建 了 镜像 ， 并 且 启 动 了 一 个 交互 的 容器 。 
我 们 指定 了 -g "daemon off;" 参数 ， 这 个 参数 会 传递 给 














用 ENTRYPOINT 指 定 的 命令 ， 在 这 里 该 命令 为 /usr/sbin/nginx -g 
"daemon off;"。 Re a 此 
时 这 个 容器 就 会 作 为 一 合 WEb 服 务 器 来 运 


我 们 也 可 以 组 合 使 用 ENTRYPOINT 和 CMD 指令 来 完成 一 些 巧妙 的 工作 。 
比如 ， 我 们 可 能 想 在 Dockerfile 里 指定 代码 清单 4-55 所 示 的 内 容 。 


代码 清单 4-55 “同时 使 用 ENTRYPOINT 和 CMD 指令 











ENTRYPOINT ["/usr/sbin/nginx" | 
CMD ["-h"] 





此 时 当 我 们 启动 一 个 容器 时 ， 任 何在 命令 行 中 指定 的 参数 都 会 被 传递 给 
Nginx 守 护 进程 。 比 如 ， 我 们 可 以 指定 -g “daemon off"; 参数 让 Nginx 
守护 进程 以 前 台 方 式 运 行 。 如 果 在 启动 容器 时 不 指定 任何 参数 ， 则 

在 CMD 指令 中 指定 的 -h 参数 会 被 传递 给 Nginx 守 护 进程 ， 即 Nginx 服 务 

器 会 以 /usr/sbin/nginx -h 的 方式 启动 ， 访 命令 用 来 显示 Nginx 的 帮 
助 信 息 。 


这 使 我 们 可 以 构建 一 个 锐 像 ， 该 镜像 既 可 以 运行 一 个 默认 的 命令 ， 同 时 
oe 过 docker run MÍT Aik tins Fa ce H m AY ae DB hs 


志 
































EB 如 果 确 实 需 要 ， 用 户 也 可 以 在 运行 时 通过 docker run 的 --entrypoint 标志 覆盖 
ENTRYPOINT 指令 。 











3. WORKDIR 


WORKDIR 指令 用 来 在 从 镜像 创建 一 个 新 容 右 时 ， 在 容器 内 部 设置 一 个 工 
作 目 录 ，ENTRYPOINT 和 /或 CMD 指定 的 程序 会 在 这 个 目录 下 执行 。 


我 们 可 以 使 用 该 指令 为 Dockerfile 中 后 续 的 一 系列 指令 设置 工作 目 
录 ， 也 可 以 为 最 终 的 容器 设置 工作 目录 。 比 如 ， 我 们 可 以 如 代码 清单 4- 
56 所 示 这 样 为 特定 的 指令 设置 不 同 的 工作 目录 。 


代码 清单 4-56 ”使 用 WORKDIR 指令 


WORKDIR /opt/webapp/db 



































RUN bundle install 
WORKDIR /opt/webapp 
ENTRYPOINT [ "rackup” ] 





这 里 ， 我 们 将 工作 目录 切换 为 /opt/webapp/db 后 运行 了 bundle 





install 命令 ， 之 后 又 将 工作 目录 设置 为 /opt/webapp ， 最 后 设置 了 
ENTRYPOINT 指令 来 启动 rackup 命令 。 


可 以 通过 -w 标志 在 运行 时 上 柳 盖 工 作 目 录 ， 如 代码 清单 4.57 所 示 。 


代码 清单 4-57 Ait LFA 














$ sudo docker run -ti -w /var/log ubuntu pwd 
/var/log 





该 命令 会 将 容 占 内 的 工作 目录 设置 为 /var/log 。 
4. ENV 
ENV 指令 用 来 在 镜像 构建 过 程 中 设置 环境 变量 ， 如 代码 清单 4-58 所 示 。 


代码 清单 4-58 在 Dockerfile 文件 中 设置 环境 变量 


ENV RVM_PATH /home/rvm/ 


这 个 新 的 环境 变量 可 以 在 后 续 的 任何 RUN 指令 中 使 用 ， 这 就 如 同 在 命令 
前 面 指定 了 环境 变量 前 级 一 样 ， 如 代码 清单 4-59 所 示 。 


代码 清单 4-59 ”为 RUN 指令 设置 前 级 


RUN gem install unicorn 


该 指令 会 以 代码 清单 4-60 所 示 的 方式 执行 。 























代码 清单 4-60 ”添加 ENV 前 绥 后 执行 


RVM_PATH=/home/rvm/ gem install unicorn 


可 以 在 ENV 指令 中 指定 单个 环境 变量 ， 或 者 ， 从 Docker 1.4 开 始 可 以 像 
代码 清单 4-61 所 示 那 样 指定 多 个 变量 。 











代码 清单 4-61 使 用 ENV 设置 多 个 环境 变量 


ENV RVM_PATH=/home/rvm RVM_ARCHFLAGS="-arch i386" 


也 可 以 在 其 他 指令 中 使 用 这 些 环境 变量 ， 如 代码 清单 4-62 所 示 。 


代码 清单 4-62 ”在 其 他 Dockerfile 指令 中 使 用 环境 变量 

































































ENV TARGET_DIR /opt/app 
WORKDIR $TARGET_DIR 





在 这 里 我 们 设 定 了 一 个 新 的 环境 变量 TARGET_DIR ， 并 在 NORKDIR 中 使 
用 了 它 的 值 。 因 此 实际 上 WORKDIR 指令 的 值 会 被 设 为 /opt/app 。 


本 于 如果 需 要 ， 可 以 通过 在 环境 变量 前 加 上 一 个 反 斜 线 来 进行 转 义 。 


这 些 环境 变量 也 会 被 持久 保存 到 从 我 们 的 镜像 创建 的 任何 容器 中 。 所 
以 ， 如 果 我 们 在 使 用 ENV RVM_PATH /home/rvm/ 指令 构建 的 容器 中 运 
行 env 命令 ， 将 会 看 到 代码 清单 4-63 所 示 的 结 


代码 清单 4-63 ” Docker 容器 中 环境 变量 的 持久 化 



























































root@bf42aadc7f09:~# env 


RVM_PATH=/home/rvm/ 





也 可 以 使 用 docker run 命令 行 的 -e 标志 来 传递 环境 变量 。 这 些 变量 将 
只 会 在 运行 时 有 效 ， 如 代码 清单 4-64 所 示 。 














代码 清单 464 ”运行 时 环境 变量 


$ sudo docker run -ti -e "WEB_PORT=8080" ubuntu env 

HOME =/ 
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin 
HOSTNAME=792b171c5e9f 


TERM=xterm 
WEB_PORT=8080 





我 们 可 以 看 到 ， 在 容器 中 NEB_PORT 环境 变量 被 设 为 了 8686 。 
5. USER 


eee ere even Seale 
65 所 不 。 




















代码 清单 4-65 ”使 用 USER 指令 


USER nginx 


基于 该 镜像 启动 的 容器 会 以 nginx 用 户 的 身份 来 运行 。 我 们 可 以 指定 用 
户 名 或 UID 以 及 组 或 GID， 甚 至 是 两 者 的 组 合 ， 比 如 代码 清单 4-66 所 
ZN o 
































NSS 
Oy 








代码 清单 4-66 ”指定 USER 和 GROUP 的 各 种 组 合 























user 
user: group 
uid 

uid: gid 


user: gid 
uid: group 





也 可 以 在 docker run 命令 中 通过 -u 标志 来 覆盖 该 指令 指定 的 值 。 


E 如 果 不 通 过 USER 指令 指定 用 户 ， 默 认 用 户 为 root 。 

















6. VOLUME 


VOLUME 指令 用 来 向 基于 镜像 创建 的 容器 添加 卷 。 一 个 卷 是 可 以 存在 于 
一 个 或 者 多 个 容器 内 的 特定 的 目录 ， 这 个 目录 可 以 绕 过 联合 文件 系统 ， 
并 提供 如 下 共享 数据 或 者 对 数据 进行 持久 化 的 功能 。 


。 卷 可 以 在 容器 间 共 享 和 重用 。 

一 个 容器 可 以 不 是 必须 和 其 他 容器 共享 卷 。 

对 卷 的 修改 是 立时 生效 的 。 

对 苍 的 修改 不 会 对 更 新 镜像 产生 影响 。 

苍 会 一 直 存 在 直到 没有 任何 容 右 再 使 用 它 。 

卷 功能 让 我 们 可 以 将 数据 《如 源 代 码 ) 、 数 据 库 或 者 其 他 内 容 添 加 到 镜 
像 中 而 不 是 将 这 些 内 容 提 交 到 镜像 中 ， 并 且 人 允许 我 们 在 多 个 容器 间 共 孚 
这 些 内 容 。 我 们 可 以 利用 此 功能 来 测试 容器 和 内 部 的 应 用 程序 代码 ， 管 
理 日 志 ， 或 者 处 理 容 器 内 部 的 数据 库 。 我 们 将 在 第 5 昔 和 第 6 章 看 到 相关 
的 例子 。 

可 以 像 代码 清单 4-67 所 示 的 这 样 使 用 VOLUME 指令 。 


代码 清单 4-67 使 用 vOLUME 指令 


VOLUME ["/opt/project"] 


这 条 指令 将 会 为 基于 此 镜像 创建 的 任何 容器 创建 一 个 名 
为 /opt/project 的 挂 载 点 。 
E docker cp 是 和 VOLUME 指令 相关 并 且 也 是 很 实用 的 命令 。 该 命令 允许 从 容器 复制 文件 


和 复制 文件 到 容器 上 。 可 以 从 Docker 命 令 行 文档 (https://docs.docker.com/engine/reference/ 
commandline/cp/ ) 中 获得 更 多 信息 。 


也 可 以 通过 指定 数组 的 方式 指定 多 个 卷 ， 如 代码 清单 4-68 所 示 。 


代码 清单 4-68 ”使 用 VOLUME 指令 指定 多 个 卷 
























































VOLUME ["/opt/project", "/data" | 





ED 第 5 章 和 第 6 章 中 经 包括 更 多 关于 卷 和 如 何 使 用 卷 的 内 容 。 如 果 现 在 就 对 卷 功 能 很 好 奇 ， 
也 可 以 在 http://docs.docker.com/userguide/dockervolumes/ 读 到 更 多 关于 卷 的 信息 。 


7. ADD 


ADD 指令 用 来 将 构建 环境 下 的 文件 和 目录 复制 到 镜像 中 。 比 如 ， 在 安装 
一 个 应 用 程序 时 。ADD 指令 需要 源 文件 位 置 和 目的 文件 位 置 两 个 参数 ， 
如 代码 清单 4-69 所 示 。 


代码 清单 4-69 ”使 用 ADD 指令 


ADD software.lic /opt/application/software. lic 


这 里 的 ADD 指令 将 会 将 构建 目录 下 的 software.1lic 文件 复制 到 镜像 中 

的 /opt 人 ”人 application/software.1lic 。 指 向 源 文件 的 位 置 参 数 
可 以 是 一 个 URL， 或 者 构建 上 下 文 或 环境 中 文件 名 或 者 目录 。 不 能 对 构 
建 目 录 或 者 上 下 文 之 外 的 文件 进行 ADD 操作 。 


在 ADD 文件 时 ，Docker 通 过 目的 地 址 参数 末尾 的 字符 来 判断 文件 源 是 目 
录 还 是 文件 。 如 果 目 标 地 址 以 /结尾 ， 那 么 Docker 就 认为 源 位 置 指 同 的 
是 一 个 目录 。 如 果 目 的 地 址 以 / 结尾 ， 那 么 Docker 就 认为 源 位 置 指 向 的 
æ H i 如 果 目 的 地 址 不 是 以 / 结尾 ， 那 么 Docker 就 认为 源 位 置 指 癌 的 
是 文件 。 


文件 源 也 可 以 使 用 URL 的 格式 ， 如 代码 清单 4-70 所 示 。 
代码 清单 4-70 在 ADD 指令 中 使 用 URL 作 为 文件 源 


ADD http://wordpress.org/latest.zip /root/wordpress.zip 


最 后 值得 一 提 的 是 ，ADD 在 处 理 本 地 归档 文件 (tar archive) 时 还 有 一 些 
小 魔法 。 如 果 将 一 个 归档 文件 (合法 的 归档 文件 包括 gzip、bzip2、xz) 


























指定 为 源 文 件 ，Docker 会 上 自动 将 归档 文件 解 开 (unpack) ， 如 代码 清单 
4-71 所 示 。 


代码 清单 4-71 将 归档 文件 作为 ADD 指令 中 的 源 文件 


ADD latest.tar.gz /var/www/wordpress/ 


这 条 命令 会 将 归档 文件 latest.tar.gz 解 开 到 /var/www/wordpress/ 
目录 下 。Docker 解 开 归档 文件 的 行为 和 使 用 市 -x 选项 的 tar 命令 一 样 : 

该 指令 执行 后 的 输出 是 原 目 的 目录 已 经 存在 的 内 容 加 上 归档 文件 中 的 内 
容 。 如 果 目 的 位 置 的 目录 下 已 经 存在 了 和 归档 文件 同名 的 文件 或 者 目 

录 ， 那 么 目的 位 置 中 的 文件 或 者 目录 不 会 被 覆 新 。 


目前 Docker 还 不 支持 以 URL 方 式 指定 的 源 位 置 中 使 用 归档 文件 。 这 种 行为 稍 显得 有 点 儿 
不 统一 ， 在 以 后 的 版 本 中 应 该 会 有 所 变化 。 















































最 后 ， 如 果 目 的 位 置 不 存在 的 话 ，Docker 将 会 为 我 们 创建 这 个 全 路 径 ， 
a 
和 GID 都 是 0。 








FERS ADD 指令 会 使 得 构建 缓存 变 得 无 效 ， 这 一 点 也 非常 重要 。 如 果 通 过 ADD 指令 向 镜像 添加 
一 个 文件 或 者 目录 ， 那 么 这 将 使 pockerfile 中 的 后 续 指令 都 不 能 继 纪 未 使 用 之 前 的 构建 缓存 。 





8. COPY 


COPY 指令 非常 类 似 于 ADD ， 它 们 根本 的 不 同 是 COPY 只 关心 在 构建 上 下 
文中 复制 本 地 文件 ， 而 不 会 去 做 文件 提取 〈extraction) 和 解压 
(decompression) 的 工作 。COPY 指令 的 使 用 如 代码 清单 4-72 所 示 。 


代码 清单 4-72 ”使 用 COPY 指令 


COPY conf.d/ /etc/apache2/ 


这 条 指令 将 会 把 本 地 conf.d 目录 中 的 文件 复制 到 /etc/apache2/ 目录 


























文件 源 路 径 必 须 是 一 个 与 当前 构建 环境 相对 的 文件 或 者 目录 ， 本 地 文件 
都 放 到 和 Dockerfile 同一 个 目录 下 。 不 能 复制 该 目录 之 外 的 任何 文 
件 ， 因 为 构建 环境 将 会 上 传 到 Docker 守 护 进 程 ， 而 复制 是 在 Docker 守 护 
进程 中 进行 的 。 任 何 位 于 构建 环境 之 外 的 东西 都 是 不 可 用 的 。COPY 指 
令 的 目的 位 置 则 必须 是 容器 内 部 的 一 个 绝对 路 径 。 


任何 由 该 指令 创建 的 文件 或 者 目录 的 UID 和 GID 都 会 设置 为 0。 


如 果 源 路 径 是 一 个 目录 ， 那 么 这 个 目录 将 整个 被 复制 到 容器 中 ， 包 括 文 
件 系统 元 数据 ， 如 果 源 文件 为 任何 类 型 的 文件 ， 则 该 文件 会 随同 元 数据 
一 起 被 复制 。 在 这 个 例子 里 ， 源 路 径 以 / 结尾 ， 所 以 Docker 会 认为 它 是 
目录 ， 并 将 它 复制 到 目的 目录 中 。 


如 果 目 的 位 置 不 存在 ，Docker 将 会 自动 创建 所 有 需要 的 目录 结构 ， 残 像 


mkdir -p 命令 那样 。 











9. LABEL 


LABEL 指令 用 于 为 Docker 镜 像 添 加 元 数据 。 元 数据 以 键 值 对 的 形式 展 
现 。 我 们 可 以 来 看 一 个 例子 ， 见 代码 清单 4-73。 


代码 清单 4-73 ”添加 LABEL 指令 














LABEL version="1.0" 
LABEL location="New York" type="Data Center" role="Web Server" 








LABEL 指 令 以 label="value" 的 形式 出 现 。 可 以 在 每 一 条 指令 中 指定 一 
个 元 数据 ， 或 者 指定 多 个 元 数据 ， 不 同 的 元 数据 之 间 用 衬 格 分 隔 。 推 荐 
将 所 有 的 元 数据 都 放 到 一 条 LABEL 指 令 中 ， 以 防止 不 同 的 元 数据 指令 创 
建 过 多 镜像 层 。 可 以 通过 docker inspect 命令 来 查看 Docker 镜 像 中 的 
标签 信息 ， 如 代码 清单 4-74 所 示 。 


代码 清单 4-74 ”使 用 docker inspect 命令 查看 容器 标签 



































$ sudo docker inspect jamtur@1/apache2 


"Labels": { 
"version": "1.0", 


"location"="New York", 
"type"="Data Center", 
"role"="Web Server" 


hs 





这 里 我 们 可 以 看 到 前 面 用 LABEL 指 令 定 义 的 元 数据 信息 。 


LABEL 指令 是 在 Docker 1.6 版 本 中 引入 的 。 


10. STOPSIGNAL 


STOPSIGNAL 指令 用 来 设置 停止 容器 时 发 送 什 么 系统 调用 信和 号 给 容器 。 
这 个 信号 必须 是 内 核 系 统 调 用 表 中 合法 的 数 ， 如 9， 或 者 SIGNAME 格 式 
中 的 信号 名 称 ， 如 SIGKILL 。 


STOPSIGNAL 指令 是 在 Docker 1.9 版 本 中 引入 的 。 








11. ARG 


ARG 指 令 用 来 定义 可 以 在 docker build 命 令 运行 时 传递 给 构建 运行 时 的 变 
量 ， 我 们 只 需要 在 构建 时 使 用 --build-arg 标志 即 可 。 用 户 只 能 在 构 
建 时 指定 在 Dockerfile 文 件 中 定义 过 的 参数 。 





代码 清单 4-75 “添加 ARG 指令 





ARG build 
ARG webapp_user=user 





上 面 例子 中 第 二 条 ARG 指 令 设置 了 一 个 默认 值 ， 如 果 构 建 时 没有 为 该 参 
数 指定 值 ， 就 会 使 用 这 个 默认 值 。 下 面 我 们 就 来 看 看 如 何在 docker 
build 中 使 用 这 些 参 数 。 


代码 清单 4-76 ”使 用 ARG 指令 


$ docker build --build-arg build=1234 -t jamtur@1/webapp . 








这 里 构建 jamtur61/webapp 镜像 时 ，build 变 量 将 会 设置 为 1234， 
而 webapp_user 变量 则 会 继承 设置 的 默认 值 user。 


ESB 读 到 这 里 ， 也 许 你 会 认为 使 用 ARG 来 传递 证 书 或 者 秘 钥 之 类 的 信息 是 一 个 不 错 的 想法 。 
但 是 ， 请 千 万 不 要 这 么 做 。 你 的 机 密 信息 在 构建 过 程 中 以 及 镜像 的 构建 历史 中 会 被 暴露 。 


Docker 预 定义 了 一 组 ARG 变 量 ， 可 以 在 构建 时 直接 使 用 ， 而 不 必 再 到 
Dockerfile 中 自行 定义 。 















































代码 清单 4-77 预定 义 ARG 变量 














HTTP_PROXY 
http_proxy 
HTTPS_PROXY 
https_proxy 
FTP_PROXY 


ftp_proxy 
NO_PROXY 
no_proxy 





要 想 使 用 这 些 预 定义 的 变量 ， 只 需要 给 docker build 命令 传递 - - 
build-arg <variable>=<value> 标志 就 可 以 了 。 


EEJ ARG 指令 是 在 Docker 1.9 版 本 中 引入 的 ， 可 以 在 Docker 文 档 (https://docs.docker.com/ 
engine/reference/builder/#arg ) 中 阅读 详细 说 明 。 


12. ONBUILD 


ONBUILD 指令 能 为 镜像 添加 触发 器 (trigger) 。 当 一 个 镜像 被 用 做 其 他 
镜像 的 基础 镜像 时 比如 用 户 的 镜像 需要 从 某 未 准备 好 的 位 置 添加 源 代 
码 ， 或 者 用 户 需要 执行 特定 于 构建 镜像 的 环境 的 构建 脚本 ) ， 该 镜像 中 
的 触发 器 将 会 被 执行 。 

触发 器 会 在 构建 过 程 中 插入 新 指令 ， 我 们 可 以 认为 这 些 指令 是 紧 跟 

在 FROM 之 后 指定 的 。 触 发 器 可 以 是 任何 构建 指令 ， 比 如 代码 清单 478 
ZN o 











代码 清单 4-78 添加 ONBUILD 指令 











ONBUILD ADD . /app/src 
ONBUILD RUN cd /app/src && make 





上 面 的 代码 将 会 在 创建 的 镜像 中 加 入 ONBUILD 触发 器 ，ONBUILD 指令 可 
以 在 镜像 上 运行 docker inspect 命令 来 查看 ， 如 代码 清单 4-79 所 示 。 


代码 清单 4-79 通过 docker inspect 命令 查看 镜像 中 的 ONBUILD 指令 



































$ sudo docker inspect 568efa4e4bf8 


"OnBuild": [ 

"ADD . /app/src", 

"RUN cd /app/src/ && make" 
] 





比如 ， 我 们 为 Apache2 镜 像 构 建 一 个 全 新 的 Dockerfile ， 该 镜像 名 
Ayjamtur@1/ apache2 ， 如 代码 清单 4-80 所 示 。 








代码 清单 4-80 ”新 的 ONBUILD 镜像 Dockerfile 





FROM ubuntu:14.04 

MAINTAINER James Turnbull "james@example.com" 
RUN apt-get update && apt-get install -y apache2 
ENV APACHE_RUN_USER www-data 

ENV APACHE_RUN_GROUP www-data 

ENV APACHE_LOG_DIR /var/log/apache2 


ONBUILD ADD . /var/www/ 

EXPOSE 86 

ENTRYPOINT ["/usr/sbin/apache2" | 
CMD ["-D", "FOREGROUND" ] 





现在 我 们 就 来 构建 该 镜像 ， 如 代码 清单 4-81 所 示 。 


代码 清单 4-81 构建 apache2 镜像 


$ sudo docker build -t="jamtur@1/apache2" . 























Step 7 : ONBUILD ADD . /var/www/ 
---> Running in 6e117f6ea4ba 
---> a79983575b86 

Successfully built a79983575b86 








在 新 构建 的 镜像 中 包含 一 条 ONBUILD 指令 ， 该 指令 会 使 用 ADD 指令 将 构 
建 环境 所 在 的 目录 下 的 内 容 全 部 添加 到 镜像 中 的 /var/www/ 目录 下 。 我 
们 可 以 轻而易举 地 将 这 个 Dockerfile 作为 一 个 通用 的 Web 应 用 程序 的 
模板 ， 可 以 基于 这 个 模板 来 构建 Web 应 用 程序 。 


我 们 可 以 通过 构建 一 个 名 为 webapp 的 镜像 来 看 看 如 何 使 用 镜像 模板 功 
能 。 它 的 Dockerfile 如 代码 清单 4-82 所 示 。 




















代码 清单 4-82 webapp 的 Dockerfile 





FROM jamtur@1/apache2 
MAINTAINER James Turnbull "james@example.com" 
ENV APPLICATION_NAME webapp 


ENV ENVIRONMENT development 





让 我 们 看 看 构建 这 个 镜像 时 将 会 发 生 什么 事情 ， 如 代码 清单 4-83 所 示 。 


代码 清单 4-83 webapp 镜像 




















$ sudo docker build -t="jamturð1/webapp" . 


Step © : FROM jamturð1/apache2 

# Executing 1 build triggers 

Step onbuild-@ : ADD . /var/www/ 

---> 1a018213a59d 

---> 1a018213a59d 

Step 1 : MAINTAINER James Turnbull "james@example.com" 


Successfully built 04829a360d86 





可 以 清楚 地 看 到 ， 在 FROM 指令 之 后 ，Docker 插 入 了 一 条 ADD 指令 ， 


XK 


条 ADD 指令 就 是 在 ONBUILD 触发 器 中 指定 的 。 执 行 完 该 ADD 指令 后 ， 
Docker 才 会 继续 执行 构建 文件 中 的 后 续 指 令 。 这 种 机 制 使 我 每 次 都 会 将 
本 地 源 代码 添加 到 镜像 ， 就 像 上 面 我 们 做 到 的 那样 ， 也 支持 我 为 不 同 的 
应 用 程序 进行 一 些 特定 的 配置 或 者 设置 构建 信息 。 这 时 ， 可 以 

将 jamtur81/apache2 当做 一 个 镜像 模板 。 


ONBUILD 触发 器 会 按照 在 父 镜 像 中 指定 的 顺序 执行 ， 并 且 只 能 被 继承 一 
次 《也 就 是 说 只 能 在 子 镜像 中 执行 ， 而 不 会 在 孙子 镜像 中 执行 ) 。 如 果 
我 们 再 基于 jamtur81/webapp 构建 一 个 镜像 ， 则 新 镜像 

是 jamtur81/apache2 的 孙子 镜像 ， 因 此 在 该 镜像 的 构建 过 程 

中 ，ONBUILD 触发 器 是 不 会 被 执行 的 。 


这 里 有 好 几 条 指令 是 不 能 用 在 ONBUILD 指令 中 的 ， 包 括 FROM 、MAINTAINER 和 ONBUILD 
本 身 。 之 所 以 这 么 规定 是 为 了 防止 在 Dockerfile 构建 过 程 中 产生 递归 调用 的 问题 。 















































4.6 ”将 镑 像 推 送 到 Docker Hub 


镜像 构建 完毕 之 后 ， 我 们 也 可 以 将 它 上 传 到 Docker Hub 上 面 去 ， 这 样 其 
他 人 就 能 使 用 这 个 镜像 了 。 比 如 ， 我 们 可 以 在 组 织 内 共 孚 这 个 镜像 ， 或 
者 完全 公开 这 个 镜像 。 


EEJ Docker Hub 也 提供 了 对 私有 仓库 的 支持 ， 这 是 一 个 需要 付费 的 功能 ， 用 户 可 以 将 镜像 存 
储 到 私有 仓库 中 ， 这 样 只 有 用 户 或 者 任何 与 用 户 共享 这 个 私有 仓库 的 人 才能 访问 该 镜像 。 这 
样 用 户 就 可 以 将 机 密 信息 或 者 代码 放 到 私有 镜像 中 ， 不 必 担 心 被 公开 访问 了 。 


我 们 可 以 通过 docker push 命令 将 镜像 推送 到 Docker Hub. 
现在 就 让 我 们 来 试 一 试 如 何 推送 ， 如 代码 清单 4-84 所 示 。 


代码 清单 4-84 ”尝试 推送 root 镜 像 






























































$ sudo docker push static web 
2013/07/01 18:34:47 Impossible to push a "root" repository. 
Please rename your repository in <user>/<repo> (ex: jamture1/ 


static_web) 





出 什么 问题 了 ? 我 们 尝试 将 镜像 推送 到 远程 仓库 static_web ， 但 是 
Docker 认 为 这 是 一 个 root 仓 库 。root 仓 库 是 由 Docker 公 司 的 团队 管理 的 ， 
让 我 们 再 换 一 种 方式 试 一 下 ， 如 代码 清单 
4-85HTZR o 


代码 清单 4-85 “推送 Docker 镜 像 








$ sudo docker push jamtur@1/static_web 

The push refers to a repository [jamtur@1/static_web] (len: 1) 
Processing checksums 

Sending image list 


Pushing repository jamtur@1/static_web to registry-1.docker.io (1 tags) 





这 次 我 们 使 用 了 一 个 名 为 jamtur@1/static web 的 用 户 仓库 ， 成 功 地 


将 镜像 推送 到 了 Docker Hub。 我 们 将 会 使 用 自己 的 用 户 ID， 这 个 ID 也 是 
我 们 前 面 创 建 的 ， 并 选择 了 一 个 合法 的 镜像 名 〈 如 


youruser/yourimage ) 。 
我 们 可 以 在 Docker Hub 看 到 我 们 上 传 的 镜像 ， 如 图 4-4 所 示 。 
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Updated 9 seconds ago 


jamtur01 / static_web Pull this repository docker pull jamtur01/static_web 
lo ¢ 
0 
3 Settings 
Information Tags 9 

Description 
Webhooks 
Collaborators 


Make Private 
Delete Repository 


Properties 

Created 

2014-07-26 15:00:15 

Maintained by 

jamtur01 
ee 

Comments 
No comments available, be the first to comment. 
Status Security Education Resources Blogs Forums Feedback Contact 


图 4-4 用 户 在 Docker Hub 上 的 镜像 


kB 7 ny la //docs.docker.com/docker-hub/ 查看 到 关于 Docker Hub 的 文档 和 更 多 关于 功能 
方面 的 信 


自动 构建 


除了 从 命令 行 构 建 和 推送 镜像 ，Docker Hub 还 允许 我 们 定义 自动 构建 

(Automated Builds) 。 为 了 使 用 上 自动 构建 ， 我 们 只 需要 将 GitHub 或 
BitBucket 中 含有 Dockerfile 文件 的 仓库 连接 到 Docker Hub 即 可 。 向 这 
个 代码 仓库 推送 代码 时 ， 将 会 触发 一 次 镜像 构建 活动 并 创建 一 个 新 镜 
像 。 在 之 前 该 工作 机 制 也 被 称 为 可 信和 构建 (Trusted Build) 。 


l 自动 构建 同样 支持 私有 GitHub 和 BitBucket 仓 库 。 








在 Docker Hub 中 添加 自动 构建 任务 的 第 一 步 是 将 GitHub 或 者 BitBucket 账 
号 连接 到 Docker Hub。 具 体操 作 是 ， 打 开 Docker Hub， 登 录 后 单 击 个 人 
言 息 链接 ， 之 后 单 击 Add Repository ->Automated Build 按钮 ， 如 
图 4-5 所 示 。 


+ Add Repository 、 


Repository 
1 wee Automated Build 


sinatra 


图 4-5 “添加 仓库 按钮 


你 将 会 在 此 页 面 看 到 关于 链接 到 GitHub 或 者 BitBucket 账 号 的 选项 。 单 击 
GitHub logo 下 面 的 Select 按钮 开始 账号 链接 。 你 将 会 转 到 GitHub 页 面 
并 看 到 Docker Hub 的 账号 链接 授权 请 求 。 


在 GitHub 上 有 两 个 选项 : Public and Private (recommended) 和 
Limited 。 选 择 Public and Private (recommended) 并 单 击 Allow 
Access 完成 授权 操作 。 有 可 能 会 被 要 求 输入 GitHub 的 密码 来 确认 访问 
请 求 。 

之 后 ， 系 统 将 提示 你 选择 用 来 进行 自动 构建 的 组 织 和 仓库 ， 如 图 4-6 所 
示 。 





8 https:/ /registry.hub.docker.com/ builds/github/select/ 2 S 


>] 
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GitHub: Add Automated Build 


We currently only support public repositories. If you want to have more than one Dockerfile per Github repo, you will need to create more than one 


build, each targeting a different docker repository. Same goes with building multiple branches on the same Github repo. For more information 
please read the Automated Bulld documentation. 


Select a Repository to build 
Filamu: 
adamhjwiclassify 
auxesis/squiggie-proposal @ 
eLobato/minivenmo @ 


eshamow/prosvc-ci @ 


图 4-6 ”选择 仓库 


单 击 想 用 来 进行 自动 构建 的 仓库 后 面 的 Select 按钮 ， 之 后 开始 对 自动 
构建 进行 配置 ， 如 图 4-7 所 示 。 


& https://registry.hub.docker.com/builds/github/jamtur01/docker-puppetmaster/ Os’ 


2 
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README.md 
if you have a README.md file in your repository, we will use that as the repository full description. We will look for the README.md in the 
same directory where your Dockerfile lives. 
Warning: if you change the full description after a build, it will be rewritten the next time the Automated Build, has been bulit. To make 
changes, change the README.md In the git repo. For more information please read the Automated Bulid documentation. 


Repo Name 


jamtur01 $ / docker-Ppuppetmasteg y 


New unique Repo name; 1 - 30 characters. Only lowercase letters, digits and _- . characters are allowed 
Tags 


Type Name Dockerfile Location Docker Tag Name 


Brancl $ master 7 latest 


© Public 
“ Anyone can pull, and is listed and searchable on the docker index. 
Private 
@ Only you can pull, and is not listed on the docker index. 


Active 


M4 When active we will build when new pushes occur 


图 4-7 对 自动 构建 进行 配置 
指定 想 使 用 的 默认 的 分 文 名 ， 并 确认 仓库 名 。 


为 每 次 目 动 构建 过 程 创 建 的 镜像 指定 一 个 标签 ， 并 指定 Dockerfile 的 
人 位置。 默认 的 位 置 为 代码 仓库 的 根 目 录 下 ， 但 是 也 可 以 随意 设置 该 路 


4, 
{Bo 


最 后 ， 单 击 Create Repository 按钮 来 将 你 的 自动 构建 添加 到 Docker 
Hub 中 ， 如 图 4-8 所 示 。 


你 会 看 到 你 的 目 动 构建 已 经 被 提交 了 。 单 击 Build Status 链接 可 以 查 
看 最 近 一 次 构建 的 状态 ， 包 括 标准 输出 的 日 志 ， 里 面 记 录 了 构建 过 程 以 
及 任何 的 错误 。 如 果 该 构建 状态 为 Done ， 则 表示 该 自动 构建 为 最 新 状 

Ao Error 状态 则 表示 构建 过 程 出 现 错误 。 你 可 以 单 击 查看 详细 的 日 志 














输出 。 





不 能 通过 docker push 命令 推送 一 个 自动 构建 ， 只 能 通过 更 新 你 的 GitHub 或 者 
BitBucket 仓 库 来 更 新 你 的 自动 构建 。 


e> Cfi B https://registry.hub.docker.com/builds/github/jamtur01/docker-puppetmaster/ Ox 
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» 
Configuration saved, and a bulki was triggered for jamtur01/docker-puppetnaster. Check back in a few minutes for the results! 


What's Next 
You have successfully configured a Automated Build with Github repo jamtur01/docker-puppetmaster. 
Visit your buid status page, to track your builds 


Make sure your Automated Build builds correctly. If it doesn't, look at the error logs to see what is causing your problem. If you have any questions 
or issues, please let us know. 


My Automated Builds 


Status Security Education Resources Biog Forums Feedback Conta 


图 4-8 创建 你 的 自动 构建 


4.7 删除 镜像 


如 打 不 再 需要 一 个 镜像 了 ， 也 可 以 将 它 删除 。 可 以 使 用 docker rmi f 
令 来 删除 一 个 镜像 ， 如 代码 清单 4-86 所 示 。 


代码 清单 4-86 ”删除 Docker 镜 像 





$ sudo docker rmi jamtur@1/static_web 
Untagged: 66c6c1f81534 

Deleted: 66c6c1f81534 

Deleted: 9f551a68e60f 


Deleted: 997485f46ec4 
Deleted: a101d806d694 
Deleted: 85130977028d 





这 里 我 们 删除 了 jamtur6el/static web 镜像 。 在 这 里 也 可 以 看 到 
Docker 的 分 层 文 件 系统 : 每 一 个 Deleted: 行 都 代表 一 个 镜像 层 被 删 
除 。 


EER 该 操作 只 会 将 本 地 的 镜像 删除 。 如 果 之 前 已 经 将 该 镜像 推送 到 Docker Hub E, MACE 
Docker Hub 上 将 依然 存在 。 


如 果 想 删除 一 个 Docker Hub 上 的 镜像 仓库 ， 需 要 在 登录 Docker Hub 后 使 
用 Delete repository 链接 来 删除 B] ， 如 图 4-9 所 示 。 

















G https://registry.hub.docker.com/u/jamtur01/sshd/ Ox 
= w 


Updated an hour ago 


jamtur01/sshd Pull this repository docker pull jamtur01/sshd 
" Ed 
0 
Settings 
Information Tags 

Description 

4 Webhooks 
Collaborators 
Make Private 


Delete repository 


Properties 
Created 
2014-06-04 19:12:57 


Maintained by 
D jamtur01 


Comments 


No comments available, be the first to comment. 
图 4-9 删除 仓库 


以 在 命令 行 中 指定 一 个 镜像 名 列表 来 删除 多 个 镜像 ， 如 代码 清单 4- 
87 有 所 不 。 


代码 清单 4-87 ”同时 删除 多 个 Docker 镜 像 





$ sudo docker rmi jamtur@1/apache2 jamtur@1/puppetmaster 





或 者 ， 类 似 于 在 第 3 章 中 看 到 的 docker rm 命令 那样 ， 我 们 可 以 像 代 码 
清单 4-88 所 示 的 这 样 来 使 用 docker rmi 命令 。 


代码 清单 4-88 删除 所 有 镜像 


$ sudo docker rmi ~docker images -a -q` 





Ws 


4.8 ”运行 自己 的 Docker Registry 


显然 ， 拥 有 Docker 镜 像 的 一 个 公共 的 Registry 非 常 有 用 。 但 是 ， 有 时 候 
我 们 可 能 希望 构建 和 存储 包含 不 想 被 公开 的 信息 或 数据 的 镜像 。 这 时 候 
我 们 有 以 下 两 种 选择 。 

。 利用 Docker Hub 上 的 私有 仓库 |! 。 

。 在 防火 墙 后 面 运行 你 自己 的 Registry。 


感谢 Docker 公 司 的 团队 开源 了 他 们 用 于 运行 Docker Registry 的 代码 ©! ， 
这 样 我 们 就 可 以 基于 此 代码 在 内 部 运行 自己 的 Registry。 目 前 Registry 还 
不 支持 用 户 界 面 ， 只 能 以 API 服 务 的 方式 来 运行 。 

















如 果 在 代理 或 者 公司 防火 墙 之 后 运行 Docker， 也 可 以 使 用 HTTPS_PROXY 、HTTP_PROXY 
和 NO_PROXY 等 选项 来 控制 Docker 如 何 互 连 。 











4.8.1 从 容器 运行 Registry 


从 Docker 容 器 安装 一 个 Registry 非 常 简 单 。 只 需要 像 代 码 清单 4-89 所 示 的 
这 样 运行 Docker 提 供 的 容器 即 可 。 





代码 清单 4-89 运行 基于 容器 的 Registry 


$ sudo docker run -p 5000:5000 registry:2 


| 从 Docker 1.3.1 开始 ， 需 要 在 启动 Docker 守 护 进程 的 命令 中 添加 -insecure-registry 
| localhost:5666 标志 ， 并 重启 守护 进程 ， 才 能 使 用 本 地 Registry。 

















该 命令 将 会 局 动 一 个 运行 Registry 应 用 2.0 版 本 的 容器 ， 并 将 5000 端 口 绑 
定 到 本 地 宿主 机 。 


| 如 果 用 户 正 在 运行 一 个 版 本 低 于 2.0 的 Docker Registry, AA P LE H Docker Registryit 
| 移 工具 (https://github.com/docker/migrator ) 升级 到 新 版 的 Registry。 








4.8.2 测试 新 Registry 





么 如 何 使 用 新 的 Registry 呢 ? 让 我 们 先 来 看 看 是 否 能 将 本 地 已 经 存在 
web 上 传 到 我 们 的 新 Registy 上 去 。 首 先 ， 我 
通过 docker images 命令 来 找到 这 个 镜像 的 D， 如 代码 清单 4- 
90 有 所 不 。 


代码 清单 4-90 ”查看 jamture81/static_web Docker 镜像 




















$ sudo docker images jamtur@1/static_web 
REPOSITORY TAG ID CREATED SIZE 
jamtur@1/static_web latest 22d47c8cb6e5 24 seconds ago 12.29 kB 


(virtual 326 MB) 





接着 ， 我 们 找到 镜像 ID， 即 22d47c8cb6e5 ， 并 使 用 新 的 Registry 给 该 
镜像 打上 标签 。 为 了 指定 新 的 Registry 目 的 地 址 ， 需 要 在 镜像 名 前 加 上 
主机 名 和 端口 前 缀 。 在 这 个 例子 里 ， 我 们 的 Registry 主 机 名 

为 docker .example.com ， 如 代码 清单 4-91 所 示 。 


代码 清单 4-91 使 用 新 Registry 为 镜像 打 标 签 


$ sudo docker tag 22d47c8cb6e5 docker.example.com:5000/jamtur@1/static_web 


为 镜像 打 完 标签 之 后 ， 就 能 通过 docker push 命令 将 它 推送 到 新 的 
Registry 中 去 了 ， 如 代码 清单 4-92 所 示 。 























代码 清单 4-92 ”将 镜像 推送 到 新 Registry 











$ sudo docker push docker.example.com:5000/jamtur@1/static_web 

The push refers to a repository [docker.example.com:5000/jamtur@1 
/static_web] (len: 1) 

Processing checksums 

Sending image list 

Pushing repository docker.example.com:5000/jamtur@1/static_web (1 tags) 


Pushing 22d47c8cb6e556420e5d58ca5cc376ef18e2de93b5cc98e868a1bbc8318c1¢c 
Buffering to disk 58375952/? (n/a) 
Pushing 58.38 MB/58.38 MB (100%) 





这 个 镜像 就 被 提交 到 了 本 地 的 Registry 中 ， 并 且 可 以 将 其 用 于 使 
用 docker run 命令 构建 新 容器 ， 如 代码 清单 4-93 所 示 。 


代码 清单 4-93 ”从 本 地 Registry 构建 新 的 容器 











$ sudo docker run -t -i docker.example.com:5000/jamture1/ 
static_web /bin/bash 





这 是 在 防火 墙 后 面部 署 自己 的 Docker Registry 的 最 简单 的 方式 。 我 们 并 
没有 解释 如 何 配置 或 者 管理 Registry。 如 果 想 深入 了 解 如 何 配置 认证 和 
管理 后 端 镜像 存储 方式 ， 以 及 如 何 管理 Registry 等 详细 信息 ， 可 以 在 
Docker Registry 部 署 文档 得 看 完整 的 配置 和 部 署 说 明 。 











4.9 其 他 可 选 Registry 服 务 
也 有 很 多 其 他 公司 和 服务 提供 定制 的 Docker Registry 服 务 。 
Quay 
Quay [6 服务 提供 了 私有 的 Registry 托 管 服务 ， 人 允许 用 户 上 传 公共 的 或 者 
私有 的 容器 。 目 前 它 提供 了 免费 的 无 限制 的 公共 仓库 托管 服务 ， 如 果 想 


托管 私 有 仓库 ， 它 还 提供 了 一 系列 的 可 伸缩 计划 。Quay 最 近 和 CoreOS 
中 收购 了 ， 并 会 被 整合 到 他 们 的 产品 中 去 。 


4.10 ”小 结 


在 本 章 中 ， 我 们 已 经 看 到 了 如 何 使 用 Docker 镜 像 及 如 何 与 其 交互 ， 以 及 
关于 如 何 修改 、 更 新 和 上 传 镜 像 到 Docker Index 的 基础 知识 。 我 们 还 学 
习 了 如 何 使 用 Dockerfile 构建 自己 的 定制 镜像 。 最 后 ， 我 们 还 研究 了 
一 下 如 何 运 行 自 己 本 地 的 Docker Registry 和 其 他 可 选 的 镜像 托管 服务 。 
这 都 是 我 们 基于 Docker 构 建 服务 的 基础 。 


在 下 一 章 中 ， 我 们 将 看 到 如 何 利于 这 些 知识 将 Docker 集 成 到 测试 工作 流 
和 持续 集成 中 去 。 














[1] http://en.wikipedia.org/wiki/Union_ mount 

[2] http://golang.org/pkg/path/filepath/#Match 

[3]  https://registry.hub.docker.com/u/jamtur01/static_web/ 
[4] https://registry.hub.docker.com/plans/ 

[5] https://github.com/docker/docker-registry 

[6] https://quay.io/ 


[7] https://coreos.com/ 


第 5 草 FEMA HA Docker 





在 前 几 章 中 我 们 学 习 了 很 多 Docker 的 基础 知识 ， 了 解 了 什么 是 镜像 ， 基 
本 的 局 动 流程 ， 以 及 如 何 运 作 容 器 。 了 解 了 这 些 基础 知识 后 ， 接 下 来 让 
我 们 试 着 在 实际 开发 和 测试 过 程 中 使 用 Docker。 首 先 来 看 看 Docker 如 何 
使 开发 和 测试 更 加 流程 化 ， 效 率 更 高 。 


为 了 演示 ， 我 们 将 会 看 到 下 面 3 个 使 用 场景 。 


e 使 用 Docker 测 试 一 个 静态 网 站 。 
e 使 用 Docker 创 建 并 测试 一 个 web 应 用 。 
。 将 Docker 用 于 持续 集成 。 


这 作者 使 用 持续 集成 环境 的 经 验 大 都 基于 Jenkins， 因 此 本 书 里 使 用 Jenkins 作 为 持续 集成 环 
境 的 例子 。 读 者 可 以 把 这 几 节 所 讲 的 思想 应 用 到 任何 持续 集成 平台 中 。 


在 前 两 个 使 用 场景 中 ， 我 们 将 主要 关注 以 本 地 开发 者 为 主 的 开发 和 测 
试 ， 而 在 最 后 一 个 使 用 场景 里 ， 我 们 会 看 到 如 何在 更 广泛 的 多 人 开发 中 
将 Docker 用 于 构建 和 测试 。 


本 章 将 介绍 如 何 将 使 用 Docker 作 为 每 日 生活 和 工作 流程 的 一 部 分 ， 包 括 
如 何 连 接 不 同 的 容器 等 有 用 的 概念 。 本 章 会 包含 很 多 有 用 的 信息 ， 告 诉 
读者 通 肖 如 何 运 行 和 管理 Docker。 所 以 ， 即 便 读者 并 不 关心 上 述 使 用 场 
景 ， 作 者 也 推荐 读者 能 阅读 本 章 。 








5.1 使 用 Docker 测 试 静态 网 站 


将 Docker 作 为 本 地 Web 开 发 环境 是 Docker 的 一 个 最 简单 的 应 用 场景 。 这 
样 的 环境 可 以 完全 复制 生产 环境 ， 并 确保 用 户 开 发 的 东西 在 生产 环境 中 
也 能 运行 。 下 面 从 将 Nginx Web 服 务 器 安装 到 容器 来 架构 一 个 简单 的 网 
站 开始 。 这 个 网 站 暂且 命名 为 Sample。 





5.1.1 Sample 网 站 的 初始 Dockerfile 


为 了 完成 网 站 开发 ， 从 这 个 简单 的 Dockerfile 开始 。 先 来 创建 一 个 目 
录 ， 保 存 Dockerfile ， 如 代码 清单 5-1 所 示 。 


代码 清单 5-1 为 Nginx Dockerfile 创建 一 个 目录 








$ mkdir sample 
$ cd sample 


$ touch Dockerfile 








现在 还 需要 一 些 Nginx 配 置 文件 ， 才 能 运行 这 个 网 站 。 首 移 在 这 个 示例 
所 在 的 目录 里 创建 一 个 名 为 nginx 的 目录 ， 用 来 存放 这 些 配置 文件 。 然 
后 我 们 可 以 从 GitHub 上 下 载 作 者 准备 好 的 示例 文件 ， 如 代码 清单 5-2 所 
A 





代码 清单 5-2 ”获取 Nginx 配 置 文件 








$ mkdir nginx && cd nginx 

$ wget https://raw.githubusercontent.com/jamtur@1/dockerbook-code 
/master/code/5/sample/nginx/global. conf 

$ wget https://raw.githubusercontent.com/jamtur@1/dockerbook-code 


/master/code/5/sample/nginx/nginx. conf 
$ cd .. 





现在 看 一 下 我 们 将 要 为 Sample 网 站 创建 的 Dockerfile ， 如 代码 清单 5- 
3 有 所 示 。 




















代码 清单 5-3 ”网 站 测试 的 基本 Dockerfile 








FROM Ubuntu:14.64 

MAINTAINER James Turnbull "james@example.com" 
REFRESHED AT 2014-06-01 
apt-get -yqq update && apt-get -yqq install nginx 
mkdir -p /var/www/html/website 


nginx/global.conf /etc/nginx/conf.d/ 
nginx/nginx.conf /etc/nginx/nginx. conf 
EXPOSE 80 





这 个 简单 的 Dockerfile 内 容 包 括 以 下 几 项 。 


安装 Nginx。 

在 容器 中 创建 一 个 目录 /var/www/html/website/。 

将 来 自我 们 下 载 的 本 地 文件 的 Nginx 配 置 文件 添加 到 镜像 中 。 
公开 镜像 的 8 端口 。 

这 个 Nginx 配 置 文件 是 为 了 运行 Sample 网 站 而 配置 的 。 将 文件 
nginx/global.conf HADD 指令 复制 到 /etc/nginx/conf.d/ 目录 
中 。 配 置 文件 global.conf 的 内 容 如 代码 清单 5-4 所 示 。 


代码 清单 5-4 global.conf 文件 

















server { 
listen 0.0.0.0:80; 
server_name a 
root /var/www/html/website; 
index index.html index.htm; 


access_log /var/log/nginx/default_access.log; 
error_log /var/log/nginx/default_error.1log; 





这 个 文件 将 Nginx 设 置 为 监听 868 端口 ， 并 将 网 络 服务 的 根 路 径 设 置 
为 /var/www/ html/website ， 这 个 目录 是 我 们 用 RUN 指令 创建 的 。 


我 们 还 需要 将 Nginx 配 置 为 非 守 护 进程 的 模式 ， 这 样 可 以 让 Nginx 在 
Docker 容 器 里 工作 。 将 文件 nginx/nginx.conf 复制 到 /etc/nginx H 





录 就 可 以 达到 这 个 目的 ，nginx. ”conf 文件 的 内 容 如 代码 清单 5-5 
所 不。 


代码 清单 5-5 nginx.conf 配置 文件 





user www-data; 

worker_processes 4; 

pid /run/nginx.pid; 

daemon off; 

events { } 

http { 
sendfile on; 
tcp nopush on; 
tcp_nodelay on; 
keepalive timeout 65; 
types_hash_max_size 2048; 
include /etc/nginx/mime.types; 
default_type application/octet-stream; 
access log /var/log/nginx/access.log; 
error_log /var/log/nginx/error.1log; 
gzip on; 
gzip_disable "msie6"; 
include /etc/nginx/conf.d/*.conf; 





在 这 个 配置 文件 里 ， daemon off; 选项 阻止 Nginx 进 入 后 台 ， 强 制 其 在 
前 台 运 行 。 这 是 因为 要 想 保持 Docker 容 器 的 活跃 状态 ， 需要 其 中 运行 的 
进程 不 能 中 断 。 默 认 情 况 下 ，Nginx 会 以 守护 进程 的 方式 启动 ， 这 会 导 
致 容器 只 是 短暂 运行 ， 在 守护 进程 被 fork 局 动 后 ， 发 起 守护 进程 的 原始 
进程 就 会 退出 ， 这 时 容器 就 停止 运行 了 。 


这 个 文件 通过 ADD 指令 复制 到 /etc/nginx/nginx.conf。 


读者 应 该 注意 到 了 两 个 ADD 指令 的 目标 有 细微 的 差别 。 第 一 个 指令 以 目 
录 /etc/nginx/ conf.d/ 结束 ， 而 第 二 个 指令 指定 了 文 

件 /etc/nginx/nginx.conf。 将 文件 复制 到 Docker 镜 像 时 ， 这 两 种 风 
格 都 是 可 以 用 的 。 


ES 读者 可 以 在 本 书 的 代码 网 站 “) 或 者 Docker Book 网 站 2) 里 找到 所 有 的 代码 和 示例 配置 
文件 。 读者 需要 下 载 或 者 复制 粘贴 nginx. cont 和 global .conf 配置 文件 到 之 前 创建 的 nginx 
目录 里 ， 保 证 其 可 以 用 于 docker build MS. 
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5.1.2 ”构建 Sample 网 站 和 Nginx 镜 像 


利用 之 前 的 Dockerfile ， 可 以 用 docker build 命令 构建 出 新 的 镜 
像 ， 并 将 这 个 镜像 命名 为 jamture1/nginx ， 如 代码 清单 5-6 所 示 。 


代码 清单 5-6 构建 新 的 Nginx 镜 像 




















$ sudo docker build -t jamtur@1/nginx . 





这 将 构建 并 命名 一 个 新 镜像。 下 面 来 看 看 构建 的 执行 步骤 。 使 
history 命令 查看 构建 新 镜像 的 步骤 和 层级 ， 如 代码 清单 5- 
7 所 示 。 





代码 清单 5-7 展示 Nginx 镜 像 的 构建 历史 





$ sudo docker history jamtur@1/nginx 

IMAGE CREATED CREATED BY 

SIZE 

#99cb@a6726d 7 secs ago /bin/sh -c #(nop) EXPOSE 86/tcp 

ðO B 

d6741c86634e 7 secs ago /bin/sh -c #(nop) ADD file: 
d6698a182fafaf3cb0 415 B 

f1b8d3ab6b4f 8 secs ago /bin/sh -c #(nop) ADD file:9778 
ae1b43896011cc 286 B 

4e88da941d2b About a min /bin/sh -c mkdir -p /var/www/html1/ 
website 8 B 

1224c6db31b7 About a min /bin/sh -c apt-get -yqq update && apt- 
get -yq 39.32 MB 

2cfbed445367 About a min /bin/sh -c #(nop) ENV REFRESHED_AT=2014- 
06-01 © B 

6b5e0485e5fa About a min /bin/sh -c #(nop) MAINTAINER James 
Turnbull ”6 B 

91e54dfb1179 2 days ago /bin/sh -c #(nop) CMD ["/bin/bash"] 

6 B 

d74508fb6632 2 days ago /bin/sh -c sed -i 's/^#\s*\(deb.* 
universe\)$/ 1.895 kB 

c22013c84729 2 days ago /bin/sh -c echo '#!/bin/sh' > /usr/sbin/ 
polic 194.5 kB 

d3a1f33e8a5a 2 days ago /bin/sh -c #(nop) ADD file:5 
a3f9e9ab88e725d60 188.2 MB 





history 命令 从 新 构建 的 jamtur81/nginx 镜像 的 最 后 一 层 开 始 ， 追 济 
到 最 开始 的 父 镜像 ubuntu:14.64 。 这 个 命令 也 展示 了 每 步 之 间 创 建 的 
新 层 ， 以 及 创建 这 个 层 所 使 用 的 Dockerfile 里 的 指令 。 


5.1.3” 从 Sample 网 站 和 Nginx 镜 像 构 建 容器 
现在 可 以 使 用 jamtur81/nginx 镜像 ， 并 开始 从 这 个 镜像 构建 可 以 用 来 


测试 Sample 网 站 的 容器 。 为 此 ， 需 要 添加 Sample 网 站 的 代码 。 现 在 下 载 
这 段 代 码 到 sample 目录 ， 如 代码 清单 5-8 所 示 。 





代码 清单 5-8 下载 Sample 网 站 





$ mkdir website && cd website 
$ wget https://raw.githubusercontent.com/jamtur@1/dockerbook-code 
/master/code/5/sample/website/index.html 


$ cd.. 





这 将 在 sample 目录 中 创建 一 个 名 为 website 的 目录 ， 然 后 为 Sample 网 
站 下 载 index.html 文件 ， 放 到 website 目录 中 。 


现在 来 看 看 如 何 使 用 docker run 命令 来 运行 一 个 容器 ， 如 代码 清单 5-9 
所 示 。 








代码 清单 5-9 ”构建 第 一 个 Nginx 测 试 容器 





$ sudo docker run -d -p 86 --name website \ 
-v $PWD/website:/var/www/html/website \ 
jamturð1/nginx nginx 





多 到 可 以 看 到 ， 在 执行 docker run 时 传 入 了 nginx 作为 容器 的 启动 命令 。 一 般 情况 下 ， 这 
个 命令 无 法 让 Nginx 以 交互 的 方式 运行 。 我 们 已 经 在 提供 给 Docker 的 配置 里 加 入 了 指令 daemon 


























off ， 这 个 指令 让 Nginx 局 动 后 以 交互 的 方式 在 前 台 运 行 。 





可 以 看 到 ， 我 们 使 用 docker run 命令 从 jamtur81/nginx 镜像 创建 了 
一 个 名 为 website 的 容器 。 读 者 已 经 见 过 了 大 部 分 选项 ， 不 过 -v 选项 
是 新 的 。-v 这 个 选项 允许 我 们 将 宿主 机 的 目录 作为 卷 ， 挂 载 到 容器 
H, 


现在 稍微 偏 题 一 下 ， 我 们 来 关注 一 下 卷 这 个 概念 。 卷 在 Docker 里 非常 重 
要 ， 也 很 有 用 。 卷 是 在 一 个 或 者 多 个 容器 内 被 选 定 的 目录 ， 可 以 绕 过 分 
层 的 联合 文件 系统 (Union File System) ， 为 Docker 提 供 持久 数据 或 者 
共享 数据 。 这 意味 着 对 卷 的 修改 会 直接 生效 ， 并 绕 过 镜像 。 当 提交 或 者 
创建 镜像 时 ， 卷 不 被 包含 在 镜像 里 。 


ED 卷 可 以 在 容器 间 共 享 。 即 便 容器 停 上 上 ， 卷 里 的 内 容 依旧 存在 。 在 后 面 的 章节 会 看 到 如 何 
ee 数据 。 




































































回 到 刚才 的 例子 。 当 我 们 因为 条 些 原因 不 想 把 应 用 或 者 代码 构建 到 镜像 
中 时 ， 束 体现 出 卷 的 价值 了 。 例 如 : 


。 希望 同时 对 代码 做 开发 和 测试 ; 
。 代码 改动 很 频 楷 ， 不 想 在 开发 过 程 中 重 构 镜像 ; 
。 希望 在 多 个 容器 间 共 享 代码 。 


-Vv 选项 通过 指 定 一 个 目录 或 者 登 上 与 容器 上 与 该 目录 分 离 的 本 地 宿主 
e 这 两 个 目录 用 : ahh. MRA ARATEYE, Docker Az) 
| 建 一 


也 可 以 通过 在 目录 后 面 加 上 rw 或 者 ro 来 指定 容器 内 目录 的 读 写 状态 
如 代码 清单 5-10 所 示 。 























代码 清单 5-10 ”控制 卷 的 写 状 态 


$ sudo docker run -d -p 86 --name website \ 
-v $PWD/website:/var/www/html/website:ro \ 


jamtur@1/nginx nginx 





这 将 使 目的 目录 /var/www/html/website 变 成 只 读 状 态 。 


在 Nginx 网 站 容器 里 ， 我 们 通过 卷 将 $PWD/website 挂 载 到 容器 

的 /var/www/ html/website 目录 ， 顺 利 挂 载 了 正在 开发 的 本 地 网 
站 。 在 Nginx 配 置 里 《在 配置 文件 /etc/ngingx/conf.d/global.conf 
中 ) ， 已 经 指定 了 这 个 目录 为 Nginx 服 务 器 的 工作 目录 。 


ERAS 这 里 使 用 的 website 目录 包含 在 本 书 的 源 代码 中 BI 以 及 GitHub 外 上 。 读 者 可 以 在 对 应 
的 目录 里 看 到 刚刚 下 载 的 index.html 文件 。 


























现在 ， 如 果 使 用 docker ps 命令 查看 正在 运行 的 容器 ， 可 以 看 到 名 
为 website 的 容器 正 处 于 活跃 状态 ， 容 器 的 86 端口 被 映射 到 往 主 机 的 
49161 端口 ， 如 代码 清单 5-11 所 示 。 





代码 清单 5-11 查看 Sample 网 站 容器 





$ sudo docker ps -1 
CONTAINER ID IMAGE ... PORTS NAMES 


6751b94bb5c@ jamturð1/nginx:latest ... @.0.0.0:49161->8@/tcp website 





如 果 在 Docker 的 宿主 机 上 浏览 49161 端口 ， 就 会 看 到 图 5-1 所 示 的 
Sample 网 站 。 


S CQ A [D localhost:49161 





This is a test website 


图 5-1 浏览 Sample 网 站 


EB oi, 如 果 用 户 在 使 用 BootDocker 或 者 Docker Toolbox， 需 要 注意 这 两 个 工具 都 会 在 本 
地 创建 一 个 虚拟 机 ， 这 个 虚拟 机 具有 自己 独立 的 网 络 接口 和 IP 地 址 。 需 要 连接 到 虚拟 机 的 地 
址 ， 而 不 是 localhost 或 者 用 户 的 本 地 主机 的 IP 地 址 。 在 第 2 章 讨论 安装 Docker 的 时 候 ， 我 们 
也 曾 讨论 过 更 多 细节 。 


5.1.4 修改 网 站 
我 们 已 经 得 到 了 一 个 可 以 工作 的 网 站 ! 现在 ， 如 果 要 修改 网 站 ， 该 怎么 


办 ? 可 以 直接 打开 本 地 宿主 机 的 website 目录 下 的 index.html 文件 并 
修改 ， 如 代码 清单 5-12 所 示 。 















































代码 清单 5-12 ”修改 Sample 网 站 


$ vi $PWD/website/index.html 





我 们 把 代码 清单 5-13 所 示 的 原来 的 标题 改 为 代码 清单 5-14 所 示 的 新 标 
题 。 














代码 清单 5-13 ”原来 的 标题 


This is a test website 


代码 清单 5-14 ”新 标题 


This is a test website for Docker 


刷新 一 下 浏览 器 ， 看 看 现在 的 网 站 是 什么 样 的 ， 如 图 5-2 所 示 。 














e> Cf localhost:49161 


This is a test website for Docker. 














图 5-2 ”浏览 修改 后 的 Sample 网 站 


可 以 看 到 ，Sample 网 站 已 经 更 新 了 。 显 然 这 个 修改 太 简单 了 ， 不 过 可 以 

看 出 ， 更 复杂 的 修改 也 并 不 困难 。 更 重要 的 是 ， 正 在 测试 网 站 的 运行 环 

境 ， 完 全 是 生产 环境 时 的 真实 状态 。 现 在 可 以 给 每 个 用 于 生产 的 网 站 服 

务 环境 (如 Apache、Nginx) 配置 一 个 容器 ， 给 不 同 开发 框架 的 运行 环 

境 on Rails) 配置 一 人 1 容器 ， 或 者 给 后 端 数 据 库 配 置 
不 容器 ， 











5.2 ”使 用 Docker 构 建 并 测试 Web 应 用 程序 


现在 来 看 一 个 更 复杂 的 例子 ， 测 试 一 个 更 大 的 Web 应 用 程序 。 我 们 将 要 
测试 一 个 基于 Sinatra 的 Web 应 用 程序 ， 而 不 是 静态 网 站 ， 然 后 我 们 将 基 
于 Docker 来 对 这 个 应 用 进行 测试 。Sinatra 是 一 个 基于 Ruby 的 Web 应 用 框 
架 ， 它 包 售 一 个 Web 应 用 库 ， 以 及 简单 的 领域 专用 语言 〈 即 DSL) 来 构 
建 Web 应 用 程序 。 与 其 他 复杂 的 Web 应 用 框架 (如 Ruby on Rails) 不 
同 ，Sinatra 并 不 遵循 MVC 模 式 ， 而 关注 于 让 开发 者 创建 快速 、 简 单 的 
Web 应 用 。 

因此 ，Sinatra 非 常 适合 用 来 创建 一 个 小 型 的 示例 应 用 进行 测试 。 在 这 个 
例子 里 ， 我 们 将 创建 一 个 应 用 程序 ， 它 接收 输入 的 URL 参 数 ， 并 以 
JSON 散 列 的 结构 输出 到 客户 端 。 通 过 这 个 例子 ， 我 们 也 将 展示 一 下 如 
何 将 Docker 容 器 链接 起 来 。 


5.2.1 构建 Sinatra 应 用 程序 


我 们 先 来 创建 一 个 sinatra 目 录 ， 用 来 存放 应 用 程序 的 代码 ， 以 及 构建 时 
我 们 所 需 的 所 有 相关 文件 ， 如 代码 清单 5-15 所 示 。 


代码 清单 5-15 ”为 测试 Web 应 用 程序 创建 目录 





$ mkdir -p sinatra 
$ cd sinatra 





在 sinatra 目录 下 ， 让 我 们 从 Dockerfile 开始 ， 构 建 一 个 基础 镜像 ， 
并 用 这 个 镜像 来 开发 Sinatra Web 应 用 程序 ， 如 代码 清单 5-16 所 示 。 


代码 清单 5-16 ”测试 用 Web 应 用 程序 的 Dockerfile 











FROM ubuntu:14.04 

MAINTAINER James Turnbull "james@example.com" 

ENV REFRESHED AT 2014-06-01 

RUN apt-get update -yqq && apt-get -yqq install ruby ruby-dev 
build-essential redis-tools 

RUN gem install --no-rdoc --no-ri sinatra json redis 

RUN mkdir -p /opt/webapp 


EXPOSE 4567 
CMD [ "/opt/webapp/bin/webapp" | 





可 以 看 到 ， 我 们 已 经 创建 了 另 一 个 基于 Ubuntu 的 镜像 ， 安 装 了 Ruby 和 
RubyGem， 并 且 使 用 gem 命令 安装 了 sinatra 、json 和 redis 

gem. Sinatra 是 Sinatra 的 库 ，json 用 来 提供 对 JSON 的 支持 。redis 
gem 在 后 面 会 用 到 ， 用 来 和 Redis 数 据 库 进 行 集成 。 


我 们 已 经 创建 了 一 个 目录 来 存放 新 的 Web 应 用 程序 ， 并 公开 了 WEBrick 
的 默认 端口 4567 。 


指定 /opt/webapp/bin/webapp 作为 Web 应 用 程序 的 启 
动 文件 。 


现在 使 用 docker build 命令 来 构建 新 的 镜像 ， 如 代码 清单 5-17 所 示 。 


代码 清单 5-17 构建 新 的 Sinatra 镜 像 


$ sudo docker build -t jamtur@1/sinatra . 


5.2.2 ”创建 Sinatra 容 器 

















我 们 已 经 创建 了 镜像 ， 现 在 让 我 们 下 载 Sinatra Web 应 用 程序 的 源 代 码 。 
这 份 代 码 可 以 在 本 书 的 官网 器 或 Docker Book 网 站 [9 找到。 这 个 应 用 程 
序 在 webapp 目录 下 ， 由 bin 和 1ib 两 个 目录 组 成 。 

现在 将 其 下 载 到 sinatra 目录 中 ， 如 代码 清单 5-18 所 示 。 


代码 清单 5-18 ”下载 Sinatra Web 应 用 程序 














$ cd sinatra 
$ wget --cut-dirs=3 -nH -r --reject Dockerfile,index.html --no- 
parent http://dockerbook.com/code/5/sinatra/webapp/ 


$ ls -1 webapp 





下 面 我 们 就 来 快速 浏览 一 下 webapp 源 代 码 的 核心 ， 其 源 代 码 保存 
在 sinatra/`”` “webapp/1ib/app.rb 文件 中 ， 如 代码 清单 5-19 所 
示 。 


代码 清单 5-19 Sinatra app.mb 源 代码 





require "rubygems" 

require "sinatra" 

require "json" 

class App < Sinatra: :Application 

set :bind, '0.0.0.0' 

get '/' do 

"<h1>DockerBook Test Sinatra app</h1>" 


end 

post '/json/?' do 
params.to_json 
end 

end 





可 以 看 到 ， 这 个 程序 很 简单 ， 所 有 访问 /json 端 点 的 POST 请 求 参 数 都 
会 被 转换 为 JSON 的 格式 后 输出 。 


这 里 还 要 使 用 chmod 命令 保证 webapp/bin/webapp 这 个 文件 可 以 执 
行 ， 如 代码 清单 5-20 所 示 。 


代码 清单 5-20 ”确保 webapp/bin/webapp 可 以 执行 


$ chmod +x webapp/bin/webapp 


MERAT AAS RTE, 过 docker run 命令 启动 一 个 新 容 
器 。 要 启动 容器 ， 我 们 需 ， Meee 目录 下 ， 因 为 我 们 需要 将 这 个 目 
录 下 的 源 代 码 通过 卷 挂 载 到 容器 中 去， 如 代码 清单 5-21 所 示 。 


代码 清单 5-21 启动 第 一 个 Sinatra 容 器 




















$ sudo docker run -d -p 4567 --name webapp \ 
-v $PWD/webapp:/opt/webapp jamtur@1/sinatra 


| 


这 里 从 jamture81/sinatra 镜像 创建 了 一 个 新 的 名 为 webapp 的 容器 。 
站 定 了 一 个 新 卷 ， 使 用 存放 新 Sinatra Web 应 用 程序 的 webapp 目 录 ， 并 
将 这 个 卷 挂 载 到 在 Dockerfile 里 创建 的 目录 /opt/webapp 。 

我 们 没有 在 命令 行 中 指定 要 运行 的 命令 ， 而 是 使 用 在 镜像 的 
Dockerfile 中 CMD 指令 设置 的 命令 ， 如 代码 清单 5-22 所 示 。 


代码 清单 5-22”Dockerfile 中 的 CMD 指 令 





























CMD [ "/opt/webapp/bin/webapp" | 





从 这 个 镜像 启动 容器 时 ， 将 会 执行 这 一 命令 。 


也 可 以 使 用 docker logs 命令 查看 被 执行 的 命令 都 输出 了 什么 ， 如 代 
码 清单 5-23 所 示 。 





代码 清单 5-23 ”检查 Sinatra 容 器 的 日 志 








$ sudo docker logs webapp 

[2013-08-05 62:22:14] INFO WEBrick 1.3.1 

[2013-08-05 @2:22:14] INFO ruby 1.8.7 (2011-06-30) [x86_64-linux] 
== Sinatra/1.4.3 has taken the stage on 4567 for development with 


backup from WEBrick 
[2013-08-05 02:22:14] INFO WEBrick::HTTPServer#start: pid=1 port=4567 





运行 docker logs 命令 时 加 上 -f 标志 可 以 达到 与 执行 tail -f 命令 一 
样 的 效果 一 持续 输出 容器 的 STDERR 和 STDOUT 里 的 内 容 ， 如 代码 清单 5- 
24 上 所 示 。 





代码 清单 5-24 ”跟踪 Sinatra 容 器 的 日 志 


$ sudo docker logs -f webapp 








[L CR 


可 以 使 用 docker top 命令 查看 Docker 容 器 里 正在 运行 的 进程 ， 如 代码 
清单 5-25 所 示 。 




















代码 清单 5-25 “使 用 docker top 来 列 出 Sinatra 进 程 





$ sudo docker top webapp 
UID PID PPID C STIME TTY TIME CMD 
root 21506 15332 0 20:26 ? 00:00:00 /usr/bin/ruby /opt/ 


webapp/bin/webapp 





从 这 一 日 志 可 以 看 出 ， 容 器 中 已 经 启动 了 Sinatra， 而 且 WEBrick 服 务 进 
程 正 在 监听 4567 端口 ， 等 竺 测试 。 先 查看 一 下 这 个 端口 映射 到 本 地 和 宿 
主机 的 哪个 端口 ， 如 代码 清单 5-26 所 示 。 








代码 清单 5-26 ”检查 Sinatra 的 端口 映射 





$ sudo docker port webapp 4567 
0.0.0.0:49160 





目前 ，Sinatra 应 用 还 很 基础 ， 没 做 什么 。 它 只 是 接收 输入 参数 ， 并 将 输 
入 转化 为 JSON 输 出 。 现 在 可 以 使 用 curl 命令 来 测试 这 个 应 用 程序 了 ， 
如 代码 清单 5-27 所 示 。 

















代码 清单 5-27 测试 Sinatra 应 用 程序 




















$ curl -i -H ‘Accept: application/json' \ 

-d 'name=Foo&status=Bar' http://localhost:49160/json 
HTTP/1.1 200 OK 

X-Content-Type-Options: nosniff 
Content-Length: 29 

X-Frame-Options: SAMEORIGIN 

Connection: Keep-Alive 

Date: Mon, 95 Aug 2013 02:22:21 GMT 
Content-Type: text/html; charset=utf-8 

Server: WEBrick/1.3.1 (Ruby/1.8.7/2011-06-30) 
X-Xss-Protection: 1; mode=block 
{"name":"Foo", "status": "Bar"} 


pO 


可 以 看 到 ， 我 们 给 Sinatra 应 用 程序 传 入 了 一 些 URL 参 数 ， 并 看 到 这 些 参 
数 转化 成 JSON 散 列 后 的 输出 : {"name":"Foo","status":"Bar"}。 


成 功 ! 然后 试 试看 ， 我 们 能 不 能 通过 连接 到 运行 在 另 一 个 容器 里 的 服 
务 ， 把 当前 的 示例 应 用 程序 容器 扩展 为 真正 的 应 用 程序 栈 。 


5.2.3 扩展 Sinatra 心 用 程序 来 使 用 Redis 


现在 我 们 将 要 扩展 Sinatra 应 用 程序 ， 加 入 Redis 后 端 数 据 库 ， 并 在 Redis 
数据 库 中 存储 输入 的 URL 参 数 。 为 了 达到 这 个 目的 ， 我 们 要 下 载 一 个 新 
版 本 的 Sinatra 应 用 程序 。 我 们 还 将 创建 一 个 运行 Redis 数 据 库 的 镜像 和 容 
器 。 之 后 ， 要 利用 Docker 的 特性 来 关联 两 个 容器 。 


1. 升级 我 们 的 Sinatra 心 用 程序 


让 我 们 从 下 载 一 个 升级 版 的 Sinatra 应 用 程序 开始 ， 这 个 升级 版 中 增加 了 
连接 Redis 的 配置 。 在 sinatra 目 录 中 ， 我 们 下 载 了 我 们 这 个 应 用 的 启用 了 
Redis 的 版 本 ， 并 保存 到 一 个 新 目录 webapp_redis 中 ， 如 代码 清单 5-28 所 
TR 

















代码 清单 5-28 下载 升级 版 的 Sinatra Web 应 用 程序 











$ cd sinatra 
$ wget --cut-dirs=3 -nH -r --reject Dockerfile,index.html --no- 
parent http://dockerbook.com/code/5/sinatra/webapp redis/ 


$ ls -1 webapp redis 








我 们 看 到 新 应 用 程序 已 经 下 载 ， 现 在 让 我 们 看 一 下 1ib/app.rb 文件 中 
的 核心 代码 ， 如 代码 清单 5-29 所 示 。 








代码 清单 5-29 app.rb 文件 


require "rubygems" 
require "sinatra" 





require "json" 

require "redis" 

class App < Sinatra: :Application 

redis = Redis.new(:host => 'db', :port => '6379') 
set :bind, '0.0.0.0' 

get '/' do 

"<h1>DockerBook Test Redis-enabled Sinatra app</h1i>" 
end 

get '/json' do 

params = redis.get "params" 

params.to_json 

end 

post '/json/?' do 

redis.set "params", [params].to_json 
params.to_json 

end 

end 




















HY bh #Ehttp://dockerbook.com/code/5/sinatra/webapp_redis/ 或 者 Docker Book 网 站 (https:// 





a a 3 
我 们 可 以 看 到 新 版 本 的 代码 和 前 面 的 代码 几乎 一 样 ， 只 是 增加 了 对 

Redis 的 支持 。 我 们 创建 了 一 个 到 Redis 的 连接 ， 用 来 连接 名 为 db 的 宿主 
机 上 的 Redis 数 据 库 ， 端 口 为 6379 。 我 们 在 POST 请 求 处 理 中 ， 将 URL 参 


oo 1 了 Redis 数 据 库 中 : 并 在 需要 的 时 候 通 过 GET 请 求 从 中 取 回 这 个 


O redis/bin/webapp 文件 在 使 用 之 前 具备 可 
执行 权限 ， 这 可 以 通过 chmod 命令 来 实现 ， 如 代码 清单 5-30 所 示 。 


代码 清单 5-30 ”使 webapp_redis/bin/webapp 文件 可 执行 


$ chmod +x webapp _redis/bin/webapp 


2. 构建 Redis 数 据 库 镜 像 


为 了 构建 Redis 数 据 库 ， 要 创建 一 个 新 的 镜像 。 我 们 需要 在 sinatra H 
录 下 创建 一 个 redis 目录 ， 用 来 保存 构建 Redis 容 需 所 需 的 所 有 相关 文 











件 ， 如 代码 清单 5-31 所 示 。 





代码 清单 5-31 ”为 Redis 容 器 创建 目录 








$ mkdir -p sinatra/redis 
$ cd sinatra/redis 





在 sinatra/redis 目录 中， 让 我 们 从 Redis 镜 像 的 另 一 
个 Dockerfile 开始 ， 如 代码 清单 5-32 所 示 。 


代码 清单 5-32 ”用 于 Redis 镜 像 的 Dockerfile 























FROM Ubuntu:14.64 

MAINTAINER James Turnbull "james@example.com" 

ENV REFRESHED AT 2014-06-01 

RUN apt-get -yyq update && apt-get -yqq install redis-server 
redis-tools 

EXPOSE 6379 

ENTRYPOINT [ "/usr/bin/redis-server" | 

CMD [] 





我 们 在 Dockerfile 里 指定 了 安装 Redis 服 务 器 ， 公 开 6379 端口 ， 并 指 
定 了 启动 Redis 服 务 器 的 ENTRYPOINT 。 现 在 来 构建 这 个 镜像 ， 命 名 
为 jamtur61/redis ， 如 代码 清单 5-33 所 示 。 











代码 清单 5-33 ”构建 Redis 镜 像 


$ sudo docker build -t jamtur@1/redis . 


现在 从 这 个 新 镜像 构建 容器 ， 如 代码 清单 5-34 所 示 。 
代码 清 





























5-34 ”启动 Redis 容 器 























$ sudo docker run -d -p 6379 --name redis jamtur@1/redis 
0a206261f079 


[L CR 


可 以 看 到 ， 我 们 从 jamtur81/redis 镜像 启动 了 一 个 新 的 容器 ， 名 字 
是 redis 。 注 意 ， 我 们 指定 了 -p 标志 来 公开 6379 端口 。 看 看 这 个 端口 
映射 到 宿主 机 的 哪个 端口 ， 如 代码 清单 5-35 所 示 。 


代码 清 间 


























5-35 ”检查 Redis 端 口 


$ sudo docker port redis 6379 
@.0.0.0:49161 





Redis 的 端口 映射 到 了 49161 端口 。 试 着 连接 到 这 个 Redis 实 例 。 


我 们 需要 在 本 地 安装 Redis 客 户 端 做 测试 。 在 Ubuntu 系统 上 ， 客 户 端 程 
序 一 般 在 redis-tools 包 里 ， 如 代码 清单 5-36 所 示 。 


代码 清单 5-36 ”在 Ubuntu 上 安装 redis-tools 包 


$ sudo apt-get -y install redis-tools 


而 在 Red Hat 及 相关 系统 上 ， 包 名 则 为 redis ， 如 代码 清单 5-37 所 示 。 


代码 清单 5-37 ”在 Red Hat 等 上 安装 Redis 包 


$ sudo yum install -y -q redis 


然后 ， 可 以 使 用 redis-cli 命令 来 确认 Redis 服 务 器 工作 是 否 正 常 ， 如 
代码 清单 5-38 所 示 。 












































代码 清单 5-38 测试 Redis 连 接 














$ redis-cli -h 127.0.0.1 -p 49161 
redis 127.0.0.1:49161> 





这 里 使 用 Redis 客 户 端 连接 到 127.6.6.1 的 49161 端口 ， 验 证 了 Redis 服 
务 器 正在 正常 工作 。 可 以 使 用 quit 命令 来 退出 Redis CLI 接口 。 


5.2.4 将 Sinatra 应 用 程序 连接 到 Redis 容 器 


现在 来 更 新 Sinatra 应 用 程序 ， 让 其 连接 到 Redis 并 存储 传 入 的 参数 。 为 
= 需要 能 够 与 Redis 服 务 器 对 话 。 要 做 到 这 一 点 ， 可 以 用 以 下 几 种 方 
We 


e。 Docker 的 内 部 网 络 。 
。 从 Docker 1.9 及 之 后 的 版 本 开始 ， 可 以 使 用 Docker Networking 以 及 
docker network 命 令 。 
° ee 一 个 可 以 将 具体 容器 链接 到 一 起 来 进行 通信 的 抽象 
云 。 
那么 ， 我 们 应 该 选择 哪 种 方法 呢 ? 第 一 种 方法 ，Docker 的 内 部 网 络 这 种 
解决 方案 并 不 是 灵活 、 强 大 。 我 们 针对 这 种 方式 的 讨论 ， 也 只 是 为 了 介 
绍 Docker 网 络 是 如 何 工 作 的 。 我 们 不 推荐 采用 这 种 方式 来 连接 Docker 容 
Airs 











两 种 比较 现实 的 连接 Docker 容 器 的 方式 是 Docker Networking fl Docker‘ 
接 (Docker link) 。 具 体 应 该 选择 哪 种 方式 取决 于 用 户 运 行 的 Docker 的 
版 本 。 如 果 用 户 正 在 使 用 Docker 1.9 或 者 更 新 的 版 本 ， 推 荐 使 用 Docker 
Networking， 如 果 使 用 的 是 Docker 1.9 之 前 的 版 本 ， 应 该 选择 Docker 链 
接 。 


在 Docker Networking 和 Docker 链 接 之 间 也 有 一 些 区 别 。 这 也 是 我 们 推荐 
使 用 Docker Networking 而 不 是 链接 的 原因 。 


e Docker Networking 可 以 将 容器 连接 到 不 同 宿主 机 上 的 容器 。 

e 通过 Docker Networking 连 接 的 容器 可 以 在 无 需 更 新 连接 的 情况 下 ， 
对 停止 、 局 动 或 者 重启 容器 。 而 使 用 Docker 链 接 ， 则 可 能 需要 更 新 
一 些 配 置 ， 或 者 重启 相应 的 容器 来 维护 Docker 容 器 之 间 的 链接 。 

e 使 用 Docker Networking， 不 必 事 先 创 建 容 器 再 去 连接 它 。 同 样 ， 也 
A ` 关 心 容器 的 运行 顺序 ， 读 者 可 以 在 网 络 内 部 获得 容器 名 解析 和 

LM o 


在 后 面 几 节 中 ， 我 们 将 会 看 到 将 Docker 容 器 连接 起 来 的 各 种 解决 方案 。 




















5.2.5 “Docker 内 部 连 网 


第 一 种 方法 涉及 Docker 上 自己 的 网 络 栈 。 到 目前 为 止 ， 我们 看 到 的 Docker 
容器 都 是 公开 端口 并 绑 定 到 本 地 网 络 接口 的 ， 这 样 可 以 把 容器 里 的 服务 
在 本 地 Docker 和 宿主 机 所 在 的 外 部 网 络 上 《比如 ， 把 容器 里 的 80 端 口 绑 到 
本 地 答 主 机 的 更 高 端口 上 ) 公开 。 除 了 这 种 用 法 ，Docker 这 个 特性 还 有 
种 用 法 我 们 没有 见 过 ， 那 就 是 内 部 网 络 。 

在 安装 Docker 时 ， 会 创建 一 个 新 的 网 络 接 口 ， 名 字 是 docker8 。 每 个 


Docker 容 器 都 会 在 这 个 接口 上 分 配 一 个 IP 地 址 。 来 看 看 目前 Docker 窒 主 
机 上 这 个 网 络 接口 的 信息 ， 如 代码 清单 5-39 所 示 。 


针 Dodker 自 1.5.0 版 本 开始 支持 IPv6， 要 启动 这 一 功能 ， 可 以 在 运行 Docker 守 护 进 程 时 加 
上 --ipv6 标志 。 





























代码 清单 5-39 dockere 网 络 接口 








$ ip a show docker6 
4: docker6: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 150@ qdisc noqueue state 
UP 

link/ether 06:41:69:71:00:ba brd ff: fF: fF: fF: fF: FF 

inet 172.17.42.1/16 scope global docker@ 


inet6 fe80::1cb3:6eff:fee2:2df1/64 scope link 
valid lft forever preferred lft forever 





可 以 看 到 ，docker 接口 有 符合 RFC1918 的 私有 卫 地 址 ， 范 围 
是 172.16~172.36 。 接 口 本 身 的 地 址 172.17.42.1 是 这 个 Docker 网 络 
的 网 关 地 址 ， 也 是 所 有 Docker 容 器 的 网 关 地 址 。 


EZ Docker 2h (8 H172.17.x.x 作为 子 网 地 址 ， 除 非 已 经 有 别人 占用 了 这 个 子 网 。 如 果 
这 个 子 网 被 占用 了 ，Docker 会 在 172.16~172.36 这 个 范围 内 尝试 创建 子 网 。 


接口 dockere 是 一 个 虚拟 的 以 太 网 桥 ， 用 于 连接 容器 和 本 地 答 主 网 络 。 
如 果 进 一 步 查 看 Docker 答 主机 的 其 他 网 络 接口 ， 会 发 现 一 系列 名 字 以 
veth 开头 的 接口 ， 如 代码 清单 5-40 所 示 。 











代码 清单 5-40 veth 接口 





vethec6a Link encap:Ethernet HWaddr 86:e1:95:da:e2:5a 
inet6 addr: fe80: :84e1:95fF:feda:e25a/64 Scope: Link 
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其 中 一 问 作 为 容器 里 的 ethe 接口 ， 而 另 一 端 统 一 命名 为 类 似 vethec6a 
这 种 名 字 ， 作 为 宿主 机 的 一 个 端口 。 可 以 把 veth 接口 认为 是 虚拟 网 线 
的 一 端 。 这 个 虚拟 网 线 一 端 插 在 名 为 dockere 的 网 桥 上 ， 另 一 端 插 到 容 
器 里 。 通 过 把 每 个 veth* 接口 绑 定 到 dockere 网 桥 ，Docker 创 建 了 一 个 
虚拟 子 网 ， 这 个 子 网 由 答 主 机 和 所 有 的 Docker 容 器 共享 。 


进入 容 右 里 面 ， 看 看 这 个 子 网 省 道 的 为 一 端 ， 如 代码 清单 5-41 所 示 。 


代码 清单 5-41 容器 内 的 eth0 接 口 





























$ sudo docker run -t -i ubuntu /bin/bash 
root@b9107458f16a:/# ip a show eth6 
1483: eth@: <BROADCAST,UP,LOWER_UP> mtu 150@ qdisc pfifo_fast 
state UP group default qlen 1000 
link/ether £2:1f:28:de:ee:a7 brd ff: fF: FF: fF: FF: FF 
inet 172.17.0.29/16 scope global eth@ 
inet6 fe80::f01F:28ff:fede:eea7/64 scope link 
valid lft forever preferred lft forever 





可 以 看 到 ，Docker 给 容器 分 配 了 IP 地 址 172.17.6.29 作为 宿主 虚拟 接口 
的 另 一 端 。 这 样 就 能 够 让 宿主 网 络 和 容器 互相 通信 了 。 


让 我 们 从 容器 内 跟踪 对 外 通信 的 路 由 ， 看 看 是 如 何 建立 连接 的 ， 如 代码 
清单 5-42 所 示 。 








代码 清单 5-42 在 容器 内 跟 踊 对 外 的 路 由 























root@b9107458f16a:/# apt-get -yqq update && apt-get install -yqq 
traceroute 


root@b9107458f16a:/# traceroute google.com 
traceroute to google.com (74.125.228.78), 30 hops max, 60 byte packets 


1 172.17.42.1 (172.17.42.1) 0.078 ms 0.026 ms 0.024 ms 


15 iad23s07-in-f14.1e100.net (74.125.228.78) 32.272 ms 28.050 ms 25.662 
ms 





可 以 看 到 ， 容 器 地 址 后 的 下 一 跳 是 宿主 网 络 上 docker 接口 的 网 关 
IP172.17.42.1. 


不 过 Docker 网 络 还 有 另 一 个 部 分 配置 才能 允许 建立 连接 :， 防火墙 规 则 和 
NAT 配 置 。 这 些 配置 允许 Docker 在 宿主 网 络 和 容器 间 路 由 。 现 在 来 查看 
一 下 宿主 机 上 的 IPTables NAT 配 置 ， 如 代码 清单 5-43 所 示 。 
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5-43 Docker 的 ijptables 和 NAT 配 置 








$ sudo iptables -t nat -L -n 

Chain PREROUTING (policy ACCEPT) 

target prot opt source destination 

DOCKER all -- @.0.0.0/0 0.0.0.0/0@ ADDRTYPE match dst-type LOCAL 
Chain OUTPUT (policy ACCEPT) 

target prot opt source destination 

DOCKER all -- @.0.0.0/0 1127.0.0.0/8 ADDRTYPE match dst-type LOCAL 
Chain POSTROUTING (policy ACCEPT) 


target prot opt source destination 
MASQUERADE all -- 172.17.0.0/16 !172.17.0.0/16 

Chain DOCKER (2 references) 

target prot opt source destination 

DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:49161 
to:172.17.0.18:6379 





这 里 有 几 个 值得 注意 的 IPTables 规 则 。 首 先 ， 我 们 注意 到 ， 容 器 默认 是 
无 法 访问 的 。 从 和 窒 主 网 络 与 容器 通信 时 ， 必 须 明 确 指 定 打 开 的 端口 。 下 
面 我 们 以 DNAT 〈( 即 目标 NAT〉 这 个 规则 为 例 ， 这 个 规则 把 容器 里 的 访 
问 路 由 到 Docker 答 主机 的 49161 端口 。 

















想 了 解 更 多 关于 Docker 的 高 级 网 络 配置 ， 有 一 篇 文章 Va. 


Redis 容 器 的 网 络 














下 面 我 们 用 docker inspect 命令 来 得 看 新 的 Redis 容 器 的 网 络 配置 ， 
如 代码 清单 5-44 所 示 。 





代码 清单 5-44 Redis 容 器 的 网 络 配置 











$ sudo docker inspect redis 


"NetworkSettings": { 
"Bridge": "docker@", 
"Gateway": "172.17.42.1", 
"IPAddress": "172.17.0.18", 
"IPPrefixLen": 16, 
"PortMapping": null, 
"Ports": { 

"6379/tcp": [ 


"HostIp": WwW 
"HostPort": " 





docker inspect 命令 展示 了 Docker 容 器 的 细节 ， 这 些 细节 包括 配置 信 
恩 和 网 络 状况 。 为 了 清晰 ， 这 个 例子 去 掉 了 大 部 分 信息 ， 只 展示 了 网 络 
配置 。 也 可 以 在 命令 里 使 用 -ff 标志 ， 只 获取 耳 地 址 ， 如 代码 清单 5-45 所 
示 。 





代码 清单 5-45 “查看 Redis 容 器 的 IP 地 址 





$ sudo docker inspect -f '{{ .NetworkSettings.IPAddress }}' redis 
172.17.0.18 





通过 运行 docker inspect 命 令 可 以 看 到 ， 容 器 的 人 PP 地址 为 
172.17.6.18， 并 使 用 了 dockere8 接 口 作为 网 关 地 址 。 还 可 以 看 到 6379 








端口 被 映射 到 本 地 宿主 机 的 49161 端 口 。 只 是 ， 因 为 运行 在 本 地 的 
Docker 宿 主机 上 ， 所 以 不 是 一 定 要 用 映射 后 的 端口 ， 也 可 以 直接 使 用 
172.17.6.18 地 址 与 Redis 服 务 器 的 6379 端 口 通 信 ， 如 代码 清 单 5-46 所 








代码 清单 5-46 ”直接 与 Redis 容 器 通信 





$ redis-cli -h 172.17.0.18 
redis 172.17.0.18:6379> 





在 确认 完 可 以 连接 到 Redis 服 务 之 后 ， 可 以 使 用 quit 命令 退出 Redis 接 
oP 


FEES Docker 默 认 会 把 公开 的 端口 比 定 到 所 有 的 网 络 接口 上 。 因 此 ， 也 可 以 通过 localhost 或 
者 127.6.6.1 来 访问 Redis 服 务 器 。 


因此 ， 虽 然 第 一 眼看 上 去 这 是 让 容器 互联 的 一 个 好 方案 ， 但 可 惜 的 是 ， 
这 种 方法 有 两 个 大 问题 ， 第 一 ， 要 在 应 用 程序 里 对 Redis 容 右 的 IP 地 址 做 
硬 编码 ;， 第 二 ， 如 果 重 启 容 器 ，Docker 会 改变 容器 的 IP 地 址 。 现 在 

用 docker restart 命令 来 看 看 地 址 的 变化 ， 如 代码 清单 5-47 所 示 。 
(如果 使 用 docker kill 命令 杀 死 容器 再 重启 ， 也 会 得 到 同样 的 结 
R, ) 























代码 清单 5-47 重启 Redis 容 器 


$ sudo docker restart redis 


让 我 们 查看 一 下 容器 的 IP 地 址 ， 如 代码 清单 5-48 所 示 。 
代码 清单 5-48 ”查找 重启 后 Redis 容 器 的 IP 地 址 
























































$ sudo docker inspect -f '{{ .NetworkSettings.IPAddress }}' redis 
172.17.0.19 





可 以 看 到 ，Redis 容 器 有 了 新 的 IP 地 址 172.17.0.19 ， 这 就 意味 着 ， 如 
果 在 Sinatra 应 用 程序 里 硬 编码 了 原来 的 地 址 ， 那 么 现在 就 无 法 让 应 用 程 
序 连 接 到 Redis 数 据 库 了 。 这 可 不 那么 好 用 。 





谢 天 谢 地 ， 从 Docker 1.9 开 始 ，Docker 连 网 已 经 灵活 得 多 。 让 我 们 来 看 
一 下 ， 如 何 用 新 的 连 网 框架 连接 容器 。 


5.2.6 Docker Networking 


容 右 之 间 的 连接 用 网 络 创建 ， 这 被 称 为 Docker Networking， 也 是 Docker 
1.9 发 布 版 本 中 的 一 个 新 特性 。Docker Networking 人 允许 用 户 创建 自己 的 
网 络 ， 容 器 可 以 通过 这 个 网 上 互相 通信 。 实 质 上 ，Docker Networking 以 
新 的 用 户 管理 的 网 络 补充 了 现 有 的 docker0。 更 重要 的 是 ， 现 在 容器 可 
以 跨越 不 同 的 宿主 机 来 通信 ， 并 且 网 络 配置 可 以 更 灵活 地 定制 。Docker 
Networking 也 和 Docker Compose 以 及 Swarm 进行 了 集成 ， 第 7 章 将 对 
Docker Compose 和 Swarm 进行 介绍 。 











EE Docker Networking 支 持 也 是 可 插 拔 的 ， 也 就 是 说 可 以 增加 网 络 驱 动 以 支持 来 自 不 同 网 络 
设备 提供 商 《〈 如 Cisco 和 VMware) 的 特定 拓扑 和 网 络 框架 。 


下 面 我 们 就 来 看 一 个 简单 的 例子 ， 启 动 前 面 的 Docker 链 接 例 子 中 使 用 的 
Web 应 用 程序 以 及 Redis 容 器 。 要 想 使 用 Docker 网 络 ， 需 要 先 创 建 一 个 网 
络 ， 然 后 在 这 个 网 络 下 启动 容器 ， 如 代码 清单 5-49 所 示 。 


代码 清单 5-49 创建 Docker 网 络 











$ sudo docker network create app 
ec8bc3a70094a1ac3179b232bc185fcda120dad85dec394e6b5b01f7006476d4 





这 里 用 docker network 命令 创建 了 一 个 桥接 网 络 ， 命 名 为 app ， 这 个 
命令 返回 新 创建 的 网 络 的 网 络 ID。 


然后 可 以 用 docker network inspect 命令 查看 新 创建 的 这 个 网 络 ， 
如 代码 清单 5-50 所 示 。 


代码 清单 5-50 查看 app 网 络 








$ sudo docker network inspect app 


ec8bc3a70094a1ac3179b232bc185fcda120dad85dec394e6b5b01f7006476d4 


"Scope": "local", 
"Driver": "bridge", 
"IPAM": { 

"Driver": "default", 

"Config": [ 

{} 

] 
hs 
"Containers": {}, 
"Options": {} 





我 们 可 以 看 到 这 个 新 网 络 是 一 个 本 地 的 桥接 网 络 〈 这 非常 像 dockere 网 
络 ) ， 而 且 现在 还 没有 容 需 在 这 个 网 络 中 运行 。 


EB 除了 运行 于 单个 主机 之 上 的 桥接 网 络 ， 我 们 也 可 以 创建 一 个 overlay 网 络 ，overlay 
网 络 人 允许 我 们 跨 多 台 宿 主机 进行 通信 。 可 以 在 Docker 多 宿主 机 网 络 文档 8) 中 获取 更 多 关于 
overlay 网 络 的 信息 。 


可 以 使 用 docker network ls 命令 列 出 当前 系统 中 的 所 有 了 网络， 如 代 
码 清单 5-51 所 示 。 

















代码 清单 5-51 docker network` ~1s 命令 





$ sudo docker network 1s 

NETWORK ID NAME DRIVER 
a74047bace7e bridge bridge 
ec8bc3a70094 app bridge 


8f0d4282ca79 none null 
7c8cd5d23ad5 host host 





也 可 以 使 用 docker network rm 命令 删除 一 个 Docker 网 络 。 下 面 我 们 
先 从 启动 Redis 容 费 开始 ， 在 之 前 创建 的 app 网 络 中 添加 一 些 容器 ， 如 代 
码 清单 5-52 所 示 。 





代码 清单 5-52 ”在 Docker 网 络 中 创建 Redis 容 器 








$ sudo docker run -d --net=app --name db jamtur@1/redis 





这 里 我 们 基于 jamtur81/redis 镜像 创建 了 一 个 名 为 db 的 新 容器 。 我 
们 同时 指定 了 一 个 新 的 标志 --net ，- -net 标志 指定 了 新 容器 将 会 在 哪 
个 网 络 中 运行 。 


这 时 ， 如 果 再 次 运行 docker network inspect 命令 ， 将 会 看 到 这 个 
网 络 更 详细 的 信息 ， 如 代码 清单 5-53 所 示 。 

















代码 清单 5-53 ”更 新 后 的 app 网 络 














$ sudo docker network inspect app 


[ 


{ 
"Name": "app", 
"Td": n" 
ec8bc3a70094a1ac3179b232bc185fcda120dad85dec394e6b5b01f7006476d4 


3 


"Scope": "local", 
"Driver": "bridge", 
"IPAM": { 

"Driver": "default", 

"Config": [ 

{} 

] 
}， 
"Containers": { 

"9 


a5ac1aa39d84a1678b51c26525bda2b89Fb9a837F03c871441aec645958Ffe73 
ie { 
"EndpointID": "21 


a90395cb5a2c2868aaa77e05f0dde06a4ad161e13e99ed666741dc8219174ef 


3 
"MacAddress": "02:42:ac:12:00:02", 
"IPv4Address": "172.18.0.2/16", 
"IPv6Address": "" 
} 
}s 
"Options": {} 


pO 
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且 IP 地 址 为 172.18.6.2 。 


接着 ， 我 们 再 在 我 们 创建 的 pa e T RedisfJSinatra)v. 
用 程序 的 容器 ， 要 做 到 这 一 点 ， 需 要 先 回 到 sinatra/webapp 目录 下 ， 
如 代码 清单 5-54 所 示 。 





代码 清单 5-54 ”链接 Redis 容 器 





$ cd sinatra/webapp 

$ sudo docker run -p 4567 \ 

--net=app --name webapp -t -i \ 

-v $PWD/webapp:/opt/webapp jamtur@1/sinatra \ 


/bin/bash 
root@305c5f27dbd1: /# 








这 是 启用 了 Redis 的 Sinatra 应 用 程序 ， 我 们 在 前 面 Docker 链 接 的 例子 中 用 过 。 其 代码 可 以 
从 http://dockerbook.com/code/5/sinatra/webapp_redis/ 或 者 Docker Book 网 站 91 获取 。 


我 们 在 app 网 络 下 局 动 了 一 个 名 为 webapp 的 容器 。 我 们 以 交互 的 方式 
局 动 了 这 个 容器 ， 以 便 我 们 可 以 进入 里 面 看 看 它 内 部 发 生 了 什么 。 


由 于 这 个 容器 是 Etapp 网 络 内 部 启动 的 ， 因 此 Docker 将 会 感知 到 所 有 在 

这 个 网 络 下 运行 的 容器 ， 并 且 通 过 /etc/hosts 文件 将 这 些 容器 的 地 址 

我 们 就 在 webapp 容器 中 看 看 这 些 信息 ， 如 代码 清 
5-55 TZN o 



































代码 清单 5-55 webapp 容器 的 /etc/hosts 文件 





cat /etc/hosts 
172.18.0.3 305c5f27dbd1 
127.0.0.1 localhost 


172.18.0.2 db 
172.18.0.2 db.app 





我 们 可 以 看 到 /etc/hosts 文件 包含 了 webapp 容器 的 IP 地 址 ， 以 及 一 
Klocalhost 记录 。 同 时 ， 该 文件 还 包含 两 条 关于 db 容器 的 记录 。 第 
一 条 是 db 容器 的 主机 名 和 IP 地 址 172.18.6.2 。 第 二 条 记录 则 将 app 网 
络 名 作为 域名 后 级 添加 到 主机 名 后 面 ，app 网 络 内 部 的 任何 主机 都 可 以 
使 用 hostname.app 的 形式 来 被 解析 ， 这 个 例子 里 是 db .app 。 下 面 我 
们 就 来 试 试 ， 如 代码 清单 5-56 所 示 。 


























代码 清单 5-56 Pinging db.ap``p 


$ ping db.app 

PING db.app (172.18.0.2) 56(84) bytes of data. 

64 bytes from db (172.18.0.2): icmp_seq=1 ttl=64 time=@.290 ms 
64 bytes from db (172.18.0.2): icmp_seq=2 ttl=64 time=@.082 ms 


64 bytes from db (172.18.0.2): icmp_seq=3 ttl=64 time=@.111 ms 





但 是 ， 在 这 个 例子 里 ， 我 们 只 需要 db 条 目 就 可 以 让 我 们 的 应 用 程序 正 
T a a a a 
清单 5-57 所 示 。 











代码 清单 5-57 ”代码 中 指定 的 Redis DB 主机 名 




















redis = Redis.new(:host => 'db', :port => '6379') 





现在 ， 束 可 以 启动 我 们 的 应 用 程序 ， 并 且 让 Sinatra 应 用 程序 通过 db 和 
webapp 两 个 容器 间 的 连接 ， 将 接收 到 的 参数 写 入 Redis 中 ，db 和 
webapp 容器 间 的 连接 也 是 通过 app 网 络 建立 的 。 重 要 的 是 ， 如 果 任 何 





-个 容器 重启 了， 那么 它们 的 IP 地 址 信息 则 会 自动 在 /etc/hosts 文件 
中 更 新 。 也 就 是 说 ， 对 底层 容器 的 修改 并 不 会 对 我 们 的 应 用 程序 正常 工 
作 产 生 影响 。 

让 我 们 在 容器 内 启动 我 们 的 应 用 程序 ， 如 代码 清单 5-58 所 示 。 


代码 清单 5-58 ”启动 启用 了 Redis 的 Sinatra 应 用 程序 
























































root@305c5f27dbd1:/# nohup /opt/webapp/bin/webapp &_ 
nohup: ignoring input and appending output to ‘nohup.out' 


pT 


这 里 我 们 以 后 台 运 行 的 方式 启动 了 这 个 Sinatra 应 用 程序 ， 下 和 面 我 们 就 来 
ae 的 Sinatra 容 器 为 这 个 应 用 程序 绑 定 了 哪个 端口 ， 如 代码 清 
单 5-59 所 示 。 

















代码 清单 5-59 ”检查 Sinatra 容 器 的 端口 映射 情况 














$ sudo docker port webapp 4567 
@.0.0.0:49161 





很 好 ， 我 们 看 到 容器 中 的 4567 端口 被 绑 定 到 了 宿主 机 上 的 49161 端 
口 。 让 我 们 利用 这 些 信 息 在 Docker 宿 主机 上 ， 通 过 curl 命令 来 测试 一 
下 我 们 的 应 用 程序 ， 如 代码 清单 5-60 所 示 。 


代码 清 


























5-60 测试 启用 了 Redis 的 Sinatra 应 用 程序 























$ curl -i -H ‘Accept: application/json' \ 

-d 'name=Foo&status=Bar' http://localhost:49161/json 
HTTP/1.1 200 OK 

X-Content-Type-Options: nosniff 
Content-Length: 29 

X-Frame-Options: SAMEORIGIN 

Connection: Keep-Alive 

Date: Mon, 01 Jun 2014 02:22:21 GMT 
Content-Type: text/html; charset=utf-8 

Server: WEBrick/1.3.1 (Ruby/1.8.7/2011-06-30) 
X-Xss-Protection: 1; mode=block 
{"name":"Foo", "status": "Bar" } 





接着 我 们 再 来 确认 一 下 Redis 实 例 是 否 已 经 接收 到 了 这 次 更 新 ， 如 代码 
清单 5-61 所 示 。 














代码 清单 5-61 确认 Redis 容 器 数据 




















$ curl -i http://localhost:49161/json 
"T{\"name\":\"Foo\", \"status\":\"Bar\"}]" 


[L CR 


我 们 连接 到 了 已 经 连接 到 Redis 的 应 用 程序 ， 然 后 检查 了 一 下 是 否 存在 
一 个 名 为 params 的 键 ， 并 查询 这 个 键 ， 看 我 们 的 参数 (name=Foo` 和 
` status=Bar ) 是 否 已 经 保存 到 Redis 中 。 一 切 工 作 正 常 。 


1. 将 已 有 容器 连接 到 Docker 网 络 


也 可 以 将 正在 运行 的 容器 通过 docker network connect 命令 添加 到 

己 有 的 网 络 中 。 因 此 ， 我 们 可 以 将 已 经 存在 的 容器 添加 到 app 网 络 中 。 

假设 已 经 存在 的 容器 名 为 db2 ， 这 个 容器 里 也 运行 着 Redis， 让 我 们 将 这 
个 容器 添加 到 app 网 络 中 去 ， 如 代码 清单 5-62 所 示 。 























代码 清单 5-62 ”添加 已 有 容器 到 app 网 络 


$ sudo docker network connect app db2 











现在 如 果 查 看 app 网 络 的 详细 信息 ， 应 该 会 看 到 3 个 容器 ， 如 代码 清单 
5-63 所 示 。 





代码 清单 5-63 ”添加 db2 容器 后 的 app 网 络 








$ sudo docker network inspect app 


"Containers": { 
moO 
fa7477c58d7707ea14d147f0F12311bb1F77104e49db55ac346d0ae961ac401 


"EndpointID": " 
c510c78af496Fb88F1b455573d4c4d7 FdFc024d364689a057b98ea20287bFced 


3 

"MacAddress": "@2:42:ac:12:00:02", 

"IPv4Address": "172.18.0.2/16", 

"IPv6Address": "" 

}， 

"305 
c5f27dbd11773378f93aa58e86b2f710dbfca9867320f82983fc6ba79e779 
"4 

"EndpointID": "37 
be9b06F031Fcc389e98d495c71c7ab31eb57706ac8b26d4210b81d5c687282 


3 


"MacAddress": "@2:42:ac:12:00:03", 

"IPv4Address": "172.18.0.3/16", 

"IPv6Address": "" 

hs 

"70 
d#5744d£3b46276672fb49Ff1ebad5e0e95 364737 334e188a474eF4140ae56b 
"Sf 

"EndpointID": "47 
faec311dfac222ee8c1b874b87ce8987ee65505251366d4b9db422a749al1e 


3 
"MacAddress": "02:42:ac:12:00:04", 


"IPv4Address": "172.18.0.4/16", 
"IPv6Address": "" 


hs 





所 有 这 3 个 容器 的 /etc/hosts 文件 都 将 会 包含 webapp ~ db 和 db2 容器 
的 DNS 信 息 。 


我 们 也 可 以 通过 docker network disconnect 命令 断 开 一 个 容器 与 指 
定 网 络 的 链接 ， 如 代码 清单 5-64 所 示 。 





代码 清单 5-64 ”从 网 络 中 断 开 一 个 容器 


$ sudo docker network disconnect app db2 


这 条 命令 会 从 app 网 络 中 断 开 db2 容器 。 


me 器 可 以 同时 隶属 于 多 个 Dcoker 网 络 ， 所 以 可 以 创建 非常 复杂 的 网 
Z K o 





Docker 官 方 文档 lO 有 中 很 多 关于 Docker Networking 的 详细 信息 。 





2. 通过 Docker 链 接连 接 容 器 


连接 容器 的 另 一 种 选择 就 是 使 用 Docker 链 接 。 在 Docker 1.9 之 前 ， 这 是 
首选 的 容器 连接 方式 ， 并 且 只 有 在 运行 1.9 之 前 版 本 的 情况 下 才 推 荐 这 


种 方式 。 让 一 个 容器 链接 到 男 一 个 容器 是 一 个 简单 的 过 程 ， 这 个 过 程 要 
引用 容器 的 名 他。 


考虑 到 还 在 使 用 低 于 Docker 1.9 版 本 的 用 户 ， 我 们 来 看 看 Docker 链 接 是 
如 何 工 作 的 。 让 我 们 从 新 建 一 个 Redis 容 器 开始 (或 者 也 可 以 重用 之 前 
创建 的 那个 容器 〉， 如 代码 清单 5-65 所 示 。 





代码 清单 5-65 ”启动 男 一 个 Redis 容 器 


$ sudo docker run -d --name redis jamtur@1/redis 


ED 还 记得 容器 的 名 字 是 唯一 的 吗 ? 如 果 要 重建 一 个 容器 ， 在 创建 另 一 个 名 叫 redis HAS 
之 前 ， 需 要 先 用 docker` rm 命令 删 掉 旧 的 redis 容器 。 


现在 我 们 已 经 在 新 容器 里 启动 了 一 个 Redis 实 例 ， 并 使 用 - -name 标志 将 
新 容器 命名 为 redis 。 


国 二 读者 也 应 该 注意 到 了 ， 这 里 没有 公开 容器 的 任何 端口 。 一 会 儿 就 能 看 到 这 么 做 的 原 


现在 让 我 们 启动 Web 应 用 程序 容器 ， 并 把 它 链接 到 新 的 Redis 容 器 上 去 ， 
如 代码 清单 5-66 所 示 。 
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代码 清单 5-66 “链接 Redis 容 器 











$ sudo docker run -p 4567 \ 

--name webapp --link redis:db -t -i \ 

-v $PWD/webapp_redis:/opt/webapp jamtur@1/sinatra \ 
/bin/bash 


root@811bd6d588cb: /# 





多 还 需要 使 用 docker rm 命令 停止 并 删除 之 前 的 webapp 容器 。 


这 个 命令 做 了 不 少 事情 ， 我 们 要 逐一 解释 。 首 先 ， 我 们 使 用 -p 标志 公 
开 了 4567 端口 ， 这 样 就 能 从 外 面 访 问 Web 应 用 程序 。 


我 们 还 使 用 了 - -name 标志 给 容器 命名 为 webapp ， 并 使 用 了 -v 标志 把 
Web 应 用 程序 目录 作为 卷 挂 载 到 了 容器 里 。 


然而 ， 这 次 我 们 使 用 了 一 个 新 标志 --1Link 。--1link 标志 创建 了 两 个 容 
器 间 的 客户 -服务 链接 。 这 个 标志 需要 两 个 参数 : 一 个 是 要 链接 的 容器 
的 名 字 ， 另 一 个 是 链接 的 别名 。 这 个 例子 中 ， 我 们 创建 了 客户 联系 ， 
webapp 容 器 是 客户 ，redis 容器 是 “服务 ”， 并 且 为 这 个 服务 增加 了 db 
作为 别名 。 这 个 别名 让 我 们 可 以 一 致 地 访问 容器 公开 的 信息 ， 而 无 须 关 
注 底层 容器 的 名 字 。 链 接 让 服务 容器 有 能 力 与 客户 容器 通信 ， 并 且 能 分 
享 一 些 连接 细节 ， 这 些 细 节 有 助 于 在 应 用 程序 中 配置 并 使 用 这 个 链接 。 


连接 也 能 得 到 一 些 安全 上 的 好 处 。 注 意 ， 启 动 Redis 容 器 时 ， 并 没有 使 
用 -p 标志 公开 Redis 的 端口 。 因 为 不 需要 这 么 做 。 通 过 把 容器 链接 在 一 
起 ， 可 以 让 客户 容器 直接 访问 任意 服务 容器 的 公开 端口 〈 即 客 

户 webapp 容器 可 以 连接 到 服务 redis 容器 的 6379 端口 ) 。 更 妙 的 是 ， 
只 有 使 用 --link 标志 链接 到 这 个 容器 的 容器 才能 连接 到 这 个 端口 。 容 
器 的 端口 不 需要 对 本 地 宿主 机 公开 ， 现 在 我 们 已 经 拥有 一 个 非常 安全 的 
模型 。 通 过 这 个 安全 模型 ， 就 可 以 限制 容器 化 应 用 程序 被 攻击 面 ， 减 少 
应 用 暴露 的 网 络 。 


ERD 如果 用 户 希 望 ， 出 于 安全 原因 (或 者 其 他 原因 ) ， 可 以 强制 Docker 只 允许 有 链接 的 容器 
之 间 互 相通 信 。 为 此 ， 可 以 在 局 动 Docker 守 护 进 程 时 加 上 --icc=false 标志 ， 关 闭 所 有 没有 
链接 的 容器 间 的 通信 。 


也 可 以 把 多 个 容器 链接 在 一 起 。 比 如 ， 如 果 想 让 这 个 Redis 实 例 服务 于 
多 个 Web 应 用 程序 ， 可 以 把 每 个 web 应 用 程序 的 容器 和 同一 个 redis 容 
融 链 接 在 一 起 ， 如 代码 清单 5-67 所 示 。 
























































代码 清单 5-67 链接 Redis 容 器 











$ sudo docker run -p 4567 --name webapp2 --link redis:db ... 


$ sudo docker run -p 4567 --name webapp3 --link redis:db ... 








我 们 也 能 够 指定 多 次 --1ink 标志 来 连接 到 多 个 容器 。 
容器 链接 目前 只 能 工作 于 同一 台 Docker 窒 主机 中 ， 不 能 链接 位 于 不 同 Docker 从 主机 上 的 


容器 。 对 于 多 宿主 机 网 络 环境 ， 需 要 使 用 Docker Networking， 或 者 使 用 我 们 将 在 第 7 章 讨论 的 
Docker Swarm. Docker Swarm 可 以 用 于 完成 多 台 宿 主机 上 的 Docker 守 护 进程 之 间 的 编排 。 


最 后 ， 让 容 右 启动 时 加 载 shell， 而 不 是 服务 守护 进程 ， 这 样 可 以 查看 容 





























器 是 如 何 链接 在 一 起 的 。Docker 在 父 容器 里 的 以 下 两 个 地 方 写 入 了 链接 
=# 


Eh o 


e /etc/hosts 文件 中 。 
。 包 侣 连接 信息 的 环境 变量 中 。 


先 来 看 看 /etc/hosts 文件 ， 如 代码 清单 5-68 所 示 。 


代码 清单 5-68 webapp 的 /etc/hosts 文件 








root@811bd6d588cb:/_# cat /etc/hosts_ 
172.17.0.33 811bd6d588cb 


172.17.0.31 db b9107458f16a redis 





这 里 可 以 看 到 一 些 有 用 第 一 项 是 容器 自己 的 卫 地 址 和 主机 名 (E 
机 名 是 容器 ID 的 一 部 分 ) 。 第 二 项 是 由 该 连接 指令 创建 的 ， 它 是 redis 
容器 的 IP 地 址 、 名 字 、 容 句 人 D 和 从 该 连接 的 别名 入 生 的 主机 名 db 。 现 
在 试 着 ping 一 下 db 容 右 ， 如 代码 清单 5-69 所 示 。 


本 二 容 强 的 主机 名 也 可 以 不 是 其 ID 的 一 部 分 。 可 以 在 执行 docker run 命令 时 使 用 -h 或 者 - 
-hostname 标志 来 为 容器 设 定 主 机 名 。 






























































代码 清单 5-69 ”ping 一 下 db 容器 





root@811bd6d588cb:/# ping db 

PING db (172.17.6.31) 56(84) bytes of data. 

64 bytes from db (172.17.0.31): icmp_seq=1 ttl=64 time=0.623 
64 bytes from db (172.17.0.31): icmp_seq=2 ttl=64 time=0.132 
64 bytes from db (172.17.0.31): icmp_seq=3 ttl=64 time=@.095 


64 bytes from db (172.17.0.31): icmp_seq=4 ttl=64 time=@.155 





如 果 在 运行 容器 时 指定 --add-host ， 也 可 以 在 /etc/hosts 文件 
中 添加 相应 的 记录 。 例 如 ， 我 们 可 能 想 添加 运 云 行 Docker 的 主机 的 主机 名 
和 IP 地 址 到 容器 中 ， 如 代码 清单 5-.70 所 示 。 


代码 清 

















5-70 在 容器 内 添加 /etc/hosts 记录 








$ sudo docker run -p 4567 --add-host=docker:10.0.0.1 --name 
webapp2 --link redis:db ... 





这 将 会 在 容器 的 /etc/hosts 文 件 中 添加 一 个 名 为 docker、IP 地 址 为 10.0.0.1 
的 宿主 机 记录 。 


E 还 记得 之 前 提 到 过 ， 重 启 容器 时 ， 容 器 的 卫 地 址 会 发 生变 化 的 事情 么 ?从 Docker 1.3 开 
台 ， 如 果 被 连接 的 容器 重启 了 ，yV/etc/Vhost 文件 中 的 卫 地 址 会 用 新 的 耳 地 址 更 新 。 


我 们 已 经 连 到 了 Redis 数 据 库 ， 不 过 在 真 的 利用 这 个 连接 之 前 ， 我 们 先 
来 看 看 环境 变量 里 包含 的 其 他 连接 信息 。 


让 我 们 运行 env 命令 来 得 看 环境 变量 ， 如 代码 清单 5-71 所 示 。 


代码 清单 5-71 显示 用 于 连接 的 环境 变 
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root@811bd6d588cb:/# env 
HOSTNAME=811bd6d588cb 
DB_NAME=/webapp/db 
DB_PORT_6379_TCP_PORT=6379 
DB_PORT=tcp://172.17.0.31:6379 
DB_PORT_6379_TCP=tcp://172.17.0.31:6379 
DB_ENV_REFRESHED_AT=2014-06-01 


DB_PORT_6379_TCP_ADDR=172.17.0.31 

DB_PORT_6379_TCP_PROTO=tcp 
PATH=/usr/local/sbin: /usr/local/bin: /usr/sbin:/usr/bin:/sbin:/bin 
REFRESHED AT=2014-06-01 





可 以 看 到 不 少 环境 变量 ， 其 中 一 些 以 DB 开头 。Docker 在 连接 webapp 和 
redis 容器 时 ， 目 动 创 建 了 这 些 以 DB 开头 的 环境 变量 。 以 DB 开头 是 因 
为 DB 是 创建 连接 时 使 用 的 别名 。 


这 些 目 动 创建 的 环境 变量 包含 以 下 信息 : 
。 于 容器 的 名 字 : 


。 容 需 里 运行 的 服务 所 使 用 的 协议 、 卫 和 端口 号 ; 
。 容器 里 运行 的 不 同 服务 所 指定 的 协议 、 卫 和 端口 号 ; 


。 容器 里 由 Docker 设 置 的 环境 变量 的 值 。 
有 具体 的 变量 会 因 容器 的 配置 不 同 而 有 所 不 同 〈 如 容器 的 Dockerfi1l 中 
由 ENV 和 EXPOSE 指令 定义 的 内 容 ) 。 重 要 的 是 ， 这 些 变量 包含 一 些 我 
们 可 以 在 应 用 程序 中 用 来 进行 持久 的 容器 间 链 接 的 信息 。 
5.2.7 使 用 容器 连接 来 通信 


那么 如 何 使 用 这 个 连接 呢 ? 有 以 下 两 种 方法 可 以 让 应 用 程序 连接 到 
Redis 。 


。 使 用 环境 变量 里 的 一 些 连 接 信 息 。 
e 使 用 DNS 和 /etc/hosts 信息 。 


先 试 试 第 一 种 方法 ， 看 看 Web 应 用 程序 的 1ib/app.rb 文件 是 如 何 利 用 
这 些 新 的 环境 变量 的 ， 如 代码 清单 5-72 所 示 。 


代码 清单 5-72 ”通过 环境 变量 建立 到 Redis 的 连接 














require ‘uri' 


uri=URI.parse(ENV[ 'DB_PORT' ]) 


redis = Redis.new(:host => uri.host, :port => uri.port) 





这 里 使 用 Ruby 的 URI 模 块 来 解析 DB_PORT 环境 变量 ， 让 后 我 们 使 用 解析 
后 的 宿主 机 和 端口 数 出 来 配置 Redis 的 连接 信息 。 我 们 的 应 用 程序 现在 
就 可 以 使 用 该 连接 信息 来 找到 在 已 链接 容器 中 的 Redis 了 。 这 种 抽象 模 
式 避 免 了 我 们 在 代码 中 对 Redis 的 卫 地 址 和 端口 进行 硬 编码 ， 但 是 它 仍然 
是 一 种 简陋 的 服务 发 现 方式 。 


还 有 一 种 方法 ， 就 是 更 灵活 的 本 地 DNS， 这 也 是 我 们 将 要 选用 的 解决 方 
案 ， 如 代码 清单 5-73 所 示 。 


也 可 以 在 docker run 命令 中 加 入 --dns 或 者 --dns-search 标志 来 为 某 个 容器 单独 配 
置 DNS。 你 可 以 设置 本 地 DNS 解析 的 路 径 和 搜索 域 。 在 https:Wdocs.docker.comyarticles/ 
networking/ 上 可 以 找到 更 详细 的 配置 信息 。 如 果 没 有 这 两 个 标志 ，Docker 会 根据 宿主 机 的 信 
息 来 配置 DNS 解 析 。 可 以 在 /etc/resolv.conf 文件 中 查看 DNS 解析 的 配置 情况 。 












































代码 清单 5-73 ”使 用 主机 名 连接 Redis 





redis = Redis.new(:host => 'db', :port => '6379') 








我 们 的 应 用 程序 会 在 本 地 查找 名 叫 db 的 宿主 机 ， 找 到 /etc/hosts 文件 
里 的 相关 项 并 解析 宿主 机 到 正确 的 IP 地 址 。 这 也 解决 了 硬 编码 IP 地 址 的 


问题 。 


我 们 现在 就 能 像 在 5.2.7 节 中 那样 测试 我 们 的 容 需 连接 是 否 能 够 正常 工作 
To 





5.2.8 ”连接 容器 小 结 


我 们 已 经 了 解 了 所 有 能 让 Docker 容 器 互相 连接 的 方式 。 在 Docker 1.9% 
之 后 版 本 中 我 们 推荐 使 用 Docker Networking， 而 在 Docker 1.9 之 前 的 版 
本 中 则 建议 使 用 Docker 链 接 。 无 论 采 用 哪 种 方式 ， 读 者 都 已 经 看 到 ， 我 
们 可 以 轻而易举 地 创建 一 个 包含 以 下 组 件 的 Web 应 用 程序 栈 : 


e 一 个 运行 Sinatra 的 Web 服 务 器 容器 ; 
。 一 个 Redis 数 据 库 容器 ; 
。 这 两 个 容器 间 的 一 个 安全 连接 。 


读者 应 该 也 能 看 出 ， 基 于 这 个 概念 ， 我 们 可 以 轻易 地 扩展 出 任意 数量 的 
应 用 程序 栈 ， 并 由 此 来 管理 复杂 的 本 地 开发 环境 ， 比 如 : 


Wordpress、HTML、CSS 和 JavaScript; 


e 

e Ruby on Rails; 

e Django#llFlask; 

e Node.js; 

e Play! ; 

。 HF EEA AHA 


这 样 就 可 以 在 本 地 环境 构建 、 复 制 、 和 迭代 开发 用 于 生产 的 应 用 程序 ， 甚 
至 很 复杂 的 多 层 应 用 程序 。 





5.3 Docker 用 于 持续 集成 


到 目前 为 止 ， 所 有 的 测试 例子 都 是 本 地 的 、 围 绕 单 个 开发 者 的 〈 束 是 
说 ， 如 何 让 本 地 开发 者 使 用 Docker 来 测试 本 地 网 站 或 者 应 用 程序 ) 。 现 
在 来 看 看 在 多 开发 者 的 持续 集成 上 测试 场景 中 如 何 使 用 Docker。 


Docker 很 擅长 快速 创建 和 处 理 一 个 或 多 个 容器 。 这 个 能 力 显 然 可 以 为 持 
续 案 成 测试 这 个 概念 提供 帮助 。 在 测试 场景 里 ， 用 己 需 要 频 标 安 闪 软 
ee ee 运行 测试 ， 再 清理 宿主 机 为 下 一 次 运行 
故 准 备 。 


在 持续 集成 环境 里 ， 每 天 要 执行 好 几 次 安装 并 分 发 到 宿主 机 的 过 程 。 
为 测试 生命 周期 增加 本 构建 和 配置 开销 。 打包 和 安装 也 消耗 了 很 多 时 
间 ， 而 且 这 个 过 程 很 恼人 ， 无 其 是 需求 变化 频 索 或 者 需要 复杂 、 耗 时 的 
处 理 步 骤 进 行 清理 的 情况 下 。 


Docker 让 部 署 以 及 这 些 步 骤 和 牡 主机 的 清理 变 得 开销 很 低 。 为 了 演示 这 
一 点 ， 我 们 将 使 用 Jenkins CI 构建 一 个 测试 流水 线 : 首先 ， 构 建 一 个 运 


行 Docker 的 Jenkins 服 务 器 。 为 了 更 有 意思 些 ， 我 们 会 让 Docker 递 归 地 运 
行 在 Docker 内 部 。 这 就 和 套 娃 一 样 ! 


可 以 在 https://github.conmyjpetazzo/dind 读 到 更 多 关于 在 Docker 中 运行 Docker 的 细节 。 


一 旦 Jenkins 运 行 起 来 ， 将 展示 最 基础 的 单 容 占 测试 运行 ， 最 后 将 展示 多 
容器 的 测试 场景 。 




















除了 Jenkins， 还 有 许多 其 他 的 持续 集成 工具 ， 包 括 Strider H 和 Drone.io HI 这 种 直接 利 
用 Docker 的 工具 ， 这 些 工 具 都 是 真正 基于 Docker 的 。 另 外 ，Jenkins 也 提供 了 一 个 插件 ， 这 样 就 
可 以 不 用 使 用 我 们 将 要 看 到 的 Docker-in-Docker 这 种 方式 了 。 使 用 Docker 插 件 可 能 更 简单 ， 但 
我 觉得 使 用 Docker-in-Docker 这 种 方式 很 有 趣 。 



























































5.3.1 构建 Jenkins 和 Docker 服 务 器 

为 了 提供 一 个 Jenkins 服 务 器 ， 从 Dockerfile 开始 构建 一 个 安装 了 
Jenkins 和 Docker 的 Ubuntu 14.04 镜 像 。 我 们 先 创建 一 个 jenkins 目录 ， 
来 存放 构建 所 需 的 所 有 相关 文件 ， 如 代码 清单 5-74 所 示 。 


代码 清单 5-74 ”为 Jenkins 创 建 目 录 





$ mkdir jenkins 
$ cd jenkins 





在 jenkins 目录 中 ， 我 们 从 Dockerfile 开 始 ， 如 代码 清单 5-75 所 示 。 


代码 清单 5-75 ”Jenkins 和 Docker 服 务 器 的 Dockerfile 























FROM Ubuntu:14.64 

MAINTAINER james@example.com 

ENV REFRESHED AT 2014-06-01 

RUN apt-get update -qq && apt-get install -qqy curl apt-transport 
-https 

RUN apt-key adv --keyserver hkp://p8@.pool.sks-keyservers.net:8@ 
--recv-keys 58118E89F3A912897C@7@ADBF76221572C52609D 

RUN echo deb https://apt.dockerproject.org/repo ubuntu-trusty 
main > /etc/apt/sources.list.d/docker. list 

RUN apt-get update -qq && apt-get install -qqy iptables cacertificates 
openjdk-7-jdk git-core docker-engine 

ENV JENKINS HOME /opt/jenkins/data 

ENV JENKINS MIRROR http://mirrors. jenkins-ci.org 

RUN mkdir -p $JENKINS HOME/plugins 

RUN curl -sf -o /opt/jenkins/jenkins.war -L $JENKINS MIRROR/warstable/ 
latest/jenkins.war 

RUN for plugin in chucknorris greenballs scm-api git-client git 
ws-cleanup ;\ 

do curl -sf -o $JENKINS HOME/plugins/${plugin}.hpi \ 

-L $JENKINS MIRROR/plugins/${plugin}/latest/${plugin}.hpi 

3 done 

ADD ./dockerjenkins.sh /usr/local/bin/dockerjenkins.sh 

RUN chmod +x /usr/local/bin/dockerjenkins.sh 

VOLUME /var/lib/docker 

EXPOSE 8080 

ENTRYPOINT [ "/usr/local/bin/dockerjenkins.sh" ] 





可 以 看 到 ，Dockerfile 继承 自 ubuntu:14.64 镜像 ， 之 后 做 了 很 多 事 
Ane 确实 ， 这 是 目前 为 止 见 过 的 最 复杂 的 Dockerfile 。 来 看 看 都 做 了 
Le 


首先 ， 它 设置 了 Ubuntu 环境 ， 加 入 了 需要 的 Docker APT 仓 库 ， 并 加 入 了 
对 应 的 GPG key。 之 后 更 新 了 包 列 表 ， 并 安装 执行 Docker 和 Jenkins 所 需 





要 的 包 。 我 们 使 用 与 第 2 章 相 同 的 指令 ， 加 入 了 一 些 Jenkins 需 要 的 包 。 


然后 ， 我 们 创建 了 /opt/jenkins 目录 ， 并 把 最 新 稳定 版 本 的 Jenkins 下 
载 到 这 个 目录 。 还 需要 一 些 Jenkins 插 件 ， 给 Jenkins 提 供 额 外 的 功能 《〈 比 
如 支持 Git 版 本 控制 〉。 


我 们 还 使 用 ENV 指令 把 JENKINS_HOME 和 JENKINS_MIRROR 环境 变量 设 
置 为 Jenkins 的 数据 目录 和 镜像 站 点 。 


然后 我 们 指定 了 VOLUME 指令 。 还 记得 吧 ，VOLUME 指令 从 容器 运行 的 宿 
主机 上 挂 载 一 个 卷 。 在 这 里 ， 为 了 “ 骗 过 ”Docker， 指 

定 /var/1ib/docker 作为 卷 。 这 是 因为 /var/1ib/docker 目录 是 
Docker 用 来 存储 其 容器 的 目录 。 这 个 位 置 必 须 是 真实 的 文件 系统 ， 而 不 
能 是 像 Docker 镜 像 层 那 种 挂 载 点 。 


那么 ， 我 们 使 用 VOLUME 指令 告诉 Docker 进 程 ， 在 容器 运行 内 部 使 用 宿 
主机 的 文件 系统 作为 容器 的 存储 。 这 样 ， 容 器 内 骨 Docker 

的 /var/1ib/docker 目录 将 保存 在 宿主 机 系统 

的 /var/1ib/docker/volumes 目录 下 的 某 个 位 置 。 


我 们 已 经 公开 了 Jenkins 默 认 的 8686 端口 。 


最 后 ， 我 们 指定 了 一 个 要 运行 的 shell 脚 本 (可 以 

在 http://dockerbook.com/code/5/jenkins/ dockerjenkins.sh 找到 ) 作为 容器 
的 启动 命令 。 这 个 shell 脚 本 〈 由 ENTRYPOINT 指令 指定 ) 帮助 在 宿主 机 
上 配置 Docker， 人 允许 在 Docker 里 运行 Docker， 开 局 Docker 守 护 进程 ， 并 
且 启 动 Jenkins。 在 https://github.com/jpetazzo/dind 可 以 看 到 更 多 关于 为 
什么 需要 一 个 shell 脚 本 来 允许 Docker 中 运行 Docker 的 信息 。 


现在 让 我 们 来 获取 这 个 shell 脚 本 。 我 们 继续 在 jenkins 目录 下 工作 ， 刚 
刚 我 们 在 这 个 目录 下 创建 了 Dockerfile 文件 ， 如 代码 清单 5-76 所 示 。 


代码 清单 5-76 ”获取 dockerjenkins .sh 脚本 















































$ cd jenkins 

$ wget https://raw. githubusercontent.com/jamtur@1/dockerbook-code 
/master/code/5/jenkins/dockerjenkins.sh 

$ chmod 0755 dockerjenkins.sh 





这 个 Dockerfile 和 shell 脚 本 作为 本 书 代码 的 一 部 分 ， 可 以 在 本 书 官网 04 或 者 GitHub 
仓库 U5] 找到 。 


已 经 有 了 Dockerfile ， 用 docker build 命令 来 构建 一 个 新 的 镜像 
如 代码 清单 5-77 所 示 。 








代码 清单 5-77 构建 Docker-Jenkins 镜 像 


$ sudo docker build -t jamtur@1/dockerjenkins. 


我 们 非常 没 创意 地 把 新 的 镜像 命名 为 jamtur81/dockerjenkins 。 现 
在 可 以 使 用 docker run 命令 从 这 个 镜像 创建 容器 了 ， 如 代码 清单 5-78 
所 示 。 








代码 清单 5-78 ”运行 Docker-Jenkins 镜 像 





$ sudo docker run -p 8080:8080 --name jenkins --privileged \ 
-d jamtur@1/dockerjenkins 


190F5c6333576f017257b3348cf64dfcd370ac10721c1150986ab1db3e3221FfF8 





可 以 看 到 ， 这 里 使 用 了 一 个 新 标志 --privileged 来 运行 容器 。-- 
privileged 标志 很 特别 ， 可 以 局 动 Docker 的 特权 模式 ， 这 种 模式 允许 
BUNS Ta EOLA OL) 所 有 能 力 来 运行 容 右 ， 包 括 一 些 内 核 特 
性 和 设备 访问 。 这 是 让 我 们 可 以 在 Docker 中 运 支行 Docker 必 要 的 魔法 。 


EZI 让 Docker 运 行 在 - -privileged 特权 模式 会 有 一 些 安全 风险 。 在 这 种 模式 下 运行 容器 对 
Docker 宿 主机 拥有 root 访问 权限 。 确 保 已 经 对 Docker 宿 主机 进行 了 恰当 的 安全 保护 ， 并 且 只 
在 确实 可 信 的 域 里 使 用 特权 访问 Docker 宿 主机 ， 或 者 仅 在 有 类 似 信任 的 情况 下 运行 容器 。 


还 可 以 看 到 ， 我 们 使 用 了 -p 标志 在 本 地 宿主 机 的 8888 端口 上 公开 8686 
端口 。 一 般 来 说 ， 这 不 是 一 种 好 的 做 法 ， 不 过 足以 让 一 台 JenKing 服 务 器 
运行 起 来 。 


可 以 看 到 新 容器 jenkins 己 经 局 动 了 。 我 们 可 以 查看 一 下 局 动 后 的 日 
a 如 代码 清单 5- 79 所 示 。 









































代码 清单 5-79 检查 Docker Jenkins 容 器 的 日 志 





$ sudo docker logs jenkins 

Running from: /opt/jenkins/jenkins.war 

webroot: EnvVars.masterEnvVars.get( "JENKINS HOME" ) 
Sep 8, 2013 12:53:01 AM winstone.Logger logInternal 
INFO: Beginning extraction from war file 


INFO: HTTP Listener started: port=8080 





要 么 不 断 地 检查 日 志 ， 要 么 使 用 -f 标志 运行 docker logs mS, HP 
看 到 与 代码 清单 5-80 所 示 类 似 的 消息 。 








代码 清单 5-80 “检查 Jenkins 的 启动 和 执行 





INFO: Jenkins is fully up and running 





太 好 了 。 现 在 Jenkins 服 务 器 应 该 可 以 通过 88689 sig FED wa as Py i 
了 ， 就 像 图 5-3 所 示 的 这 样 。 


@ Jenkins 





& New item "Wack description 
& Peopie Welcome to Jenkins! 
T> Build History 
g“ Manage Jenkins Ploase create New jobs to get started 
Å Credentials 
Build Queue 
in the queue. 


Build Executor Status 





图 5-3 ”浏览 Jenkins 服 务 器 
5.3.2 ”创建 新 的 Jenkins 作 业 


现在 Jenkins 服 务 器 已 经 运行 ， 让 我 们 来 创建 一 个 Jenkin 作 业 吧 。 单 击 
create new jobs (创建 新 作业 ) 链接 ， 打 开 了 创建 新 作业 的 向 导 ， 


如 图 5-4 所 示 。 


把 新 作业 命名 为 Docker_test_job ， 选 择 作 业 类 型 为 Freestyle 
project ， 并 单 击 OK 继续 到 下 一 个 页 面 。 





@ Jenkins 





& New item 

& People 

> Build History 

7. Manage Jenkins 


A Credentais 


Build Queve 


Bulld Executor Status 


图 5-4 ® 








= 


建新 的 Jenkins 作 业 





现在 把 这 些 区 域 都 填 好 。 先 填 好 作业 描述 ， 然 后 单 击 Advanced 
Project Options (高 级 项 目 选 项 ) 下 面 的 Advanced... 
钮 ， 单 击 Use Custom workspace (使 用 自 定义 工作 空间 )〉 的 单 选 按 
HH, F487 /tmp/jenkins-buildenv/${JOB_NAME}/ workspace 作 
为 Directory (目录 ) 。 这 个 目录 是 运行 Jenkins 的 工作 空间 。 


在 Source Code Management 〈 源 代码 管理 ) 区 域 里 ， 选 择 Git 并 指定 
测试 仓库 https:// github.com/jamtur01/docker-jenkins-sample.git 。 图 5-5 所 











示 是 一 个 简单 的 仓库 ， 它 包含 了 


些 基 于 Ruby 的 RSpec 测 试 。 


〈 高 级 ) 按 


@® Jenkins av ee 


会 Back to Dashboard Project name Docker_test_job 
Status Description 
> Changes 


Wy Workspace 





Q) Buta Now [Escaped HTML} Preview 
© Delete Project Discard OW Buikis © 
g Configure This duld is parameterized ®© 
Ds. wil b pcuted re-enabled 机 
了 Build History trend = Execute concurrent buikds if necessary Dn 
ASS for al (J ASS for tales Advanced Project Options 


(2 
®© 
Ð 
®© 
v 





® 


Keep the build logs of dependencies D 


图 5-5 ”Jenkins 作 业 细 节 1 


现在 往 下 滚动 页 面 ， 更 新 另外 一 些 区 域 。 首 先 ， 单 击 Add Build Step 
增加 构建 步骤 ) 按钮 增加 一 个 构建 的 步骤 ， 选 择 Execute shell 
(执行 shel 脚 本 ) 。 之 后 使 用 定义 的 脚本 来 启动 测试 和 Docker， 如 代码 
清单 5-81 所 示 。 














代码 清单 5-81 用 于 Jenkins 作 业 的 Docker shell 脚 本 








# 构建 用 于 此 作业 的 镜像 
IMAGE=$(docker build . | tail -1 | awk '{ print $NF }') 

# 构建 挂 载 到 Docker 的 目录 

MNT="$WORKSPACE/.." 

# 在 Docker 里 执行 编译 测试 

CONTAINER=$(docker run -d -v "$MNT:/opt/project" $IMAGE /bin/bash 
-c 'cd /opt/project/workspace && rake spec’) 

# 进入 容器 ， 这 样 可 以 看 到 输出 的 内 容 











docker attach $CONTAINER 

# 等 待 程序 退出 ， 得 到 返回 码 
RC=$(docker wait $CONTAINER) 
# 删除 刚刚 用 到 的 容器 

docker rm $CONTAINER 

# 使 用 刚才 的 返回 码 退 出 整个 脚本 
exit $RC 





























这 个 脚本 都 做 了 什么 昵 ? 首先 ， 它 将 使 用 包含 刚刚 指定 的 Git 仓 库 的 

Dockerfile 创建 一 个 新 的 Docker 镜 像 。 这 个 Dockerfile 提供 了 想 要 

eae 让 我 们 来 看 一 下 这 个 Dockerfile ， 如 代码 清单 5-82 
示 。 

















代码 清单 5-82 ”用 于 测试 作业 的 Dockerfile 








FROM Ubuntu:14.64 

MAINTAINER James Turnbull "james@example.com" 
ENV REFRESHED_AT 2014-06-01 

RUN apt-get update 


RUN apt-get -y install ruby rake 
RUN gem install --no-rdoc --no-ri rspec ci_reporter_rspec 

















E 如 果 用 户 的 测试 依赖 或 者 需要 别 的 包 ， 只 需要 根据 新 的 需求 更 新 Dockerfile ， 然 后 在 
运行 测试 时 会 重新 构建 镜像 。 


可 以 看 到 ，Dockerfile 构建 了 一 个 Ubuntu 宿主 机 ， 安 装 了 Ruby 和 
RubyGems， 之 后 安装 了 两 个 gem: rspec 和 ci_reporter_rspec 。 这 
样 构建 的 镜像 可 以 用 于 测试 典型 的 基于 Ruby 且 使 用 RSpec 测 试 框架 的 应 
用 程序 。ci_reporter_rspec gem 会 把 RSpec 的 输出 转换 为 JUnit 格 式 的 
XML 输出 ， 并 交 给 Jenkins 做 解析 。 一 会 儿 就 能 看 到 这 个 转换 的 结果 。 


回 到 之 前 的 脚本 。 从 Dockerfile 构建 镜像 。 接 下 来 ， 创 建 一 个 包含 
Jenkins 工 作 空 间 (就 是 签 出 Git 仓 库 的 地 方 ) 的 目录 ， 会 把 这 个 目录 挂 
载 到 Docker 容 妖 ， 并 在 这 个 目录 里 执行 测试 。 


然后 ， 我 们 从 这 个 镜像 创建 了 容器 ， 并 且 运 行 了 测试 。 在 容器 里 ， 把 工 
作 空 间 挂 载 到 /opt/project 目录 。 之 后 执行 命令 切换 到 这 个 目录 ， 并 
执行 rake spec 来 运行 RSpec 测 试 。 


MERRI. RIEF T RRID. 


ERAS Docket AAAI --cidfile 选项 ， 这 个 选项 会 让 Docker 截 获 容器 ID 并 将 其 存 
到 --cidfile 选项 指定 的 文件 里 ， 如 --cidfile=/tmp/containerid.txt 。 


现在 使 用 docker attach 命令 进入 容器 ， 得 到 容器 执行 时 输出 的 内 
容 ， 然 后 使 用 docker wait 命令 。docker wait 命令 会 一 直 阻 塞 ， 直 



































到 容器 里 的 命令 执行 完成 才 会 返回 容 需 退出 时 的 返回 码 。 变 量 RC 捕捉 
到 容 莫 退出 时 的 返回 码 。 


最 后 ， 清 理 环 境 ， 删 除 刚刚 创建 的 容器 ， 并 使 用 容器 的 返回 码 退 出 。 这 
个 返回 码 应 该 就 是 测试 执行 结果 的 返回 码 。Jenkins 依 赖 这 个 返回 码 得 知 
作业 的 测试 结果 是 成 功 还 是 失败 。 


接 下 来 ， 单 击 Add post-build action (加 入 构建 后 的 动作 ) ， 加 入 

一 个 Publish JUint test result report (公布 JUint 测 试 结果 报 

告 ) 的 动作 。 在 Test report XML``s (测试 报告 的 XML 文件 ) 域 ， 

需要 指定 spec/reports/*.xml 。 这 个 目录 是 ci_reporter gem 的 

ed 出 的 位 置 ， 找 到 这 个 目录 会 让 Jenkins 处 理 测试 的 历史 结果 和 输 
ZH 


最 后 ， 必 须 单 击 Save 按钮 保存 新 的 作业 ， 如 图 5-6 所 示 。 
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图 5-6 ”Jenkins 作 业 细 节 2 
5.3.3 ”运行 Jenkins 人 作业 
现在 我 们 来 运行 Jenkins 作 业 。 单 击 Build Now (现在 构建 ) 按 钮 ， 就 会 


看 到 有 个 作业 出 现在 Build History (构建 历史 ) 方 框 里 ， 如 图 5-7 所 
ZN o 
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图 5-7 运行 Jenkins 作 业 











BEE 第 一 次 运行 测试 时 ， 可 能 会 因为 构建 新 的 镜像 而 等 待 较 长 一 段 时 间 。 但 是 ， 下 次 运行 测 
试 时 ， 因 为 Docker 已 经 准备 好 了 镜像 ， 执 行 速度 就 会 比 第 一 次 快 多 了 。 


单 击 这 个 作业 ， 看 看 正在 执行 的 测试 运行 的 详细 信息 ， 如 图 5-8 所 示 。 
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图 5-8 ”Jenkins 作 业 的 细节 


单 击 Console Output GZH AMH) ， 碍 看 测试 作业 已 经 执行 的 命 
令 ， 如 图 5-9 所 示 。 
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1.9. fom deeper: uppor -2.2/1ib:/var/lib/gena/1.9.1/gens/rapec- 
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图 5-9 ”Jenkins 作 业 的 控制 台 输出 


可 以 看 到 ，Jenkins 正 在 将 Git 仓 库 下 载 到 工作 空间 。 然 后 会 执行 shell 脚 本 
并 使 用 docker build 构建 Docker 镜 像 。 然 后 我 们 捕获 镜像 的 ID 并 

用 docker run 创建 一 个 新 容器 。 正 在 运行 的 这 个 新 容器 内 会 执行 
RSpec 测 斌 并且 捕 获 测 试 结果 和 返回 码 。 如 果 这 个 作业 使 用 返回 码 8 退 
出 ， 这 个 作业 就 会 被 标识 为 测试 成 功 。 


单 击 Test Result (测试 结果 ) 链接 ， 可 以 看 到 详细 的 测试 报告 。 这 
个 报告 是 从 测试 的 RSpec 结 果 转 换 为 JUnit 格 式 后 得 到 的 。 这 个 转换 
由 ci_reporter gem 完 成 ， 并 在 “构建 后 的 步骤 ?里 被 捕获 。 


5.3.4 “与 Jenkins 作 业 有 关 的 下 一 步 


可 以 通过 局 用 SCM 轮 询 ， 让 Jenkins 作 业 自 动 执行 。 它 会 在 有 新 的 改动 答 
入 Git 仓 库 后 ， 和 触发 目 动 构建 。 类 似 的 自动 化 还 可 以 通过 提交 后 的 钩子 
或 者 GitHub 或 者 Bitbucket 仓 库 的 多 子 来 完成 。 





5.3.5 ”Jenkins 设 置 小 结 


到 现在 为 止 ， 我 们 已 经 做 了 不 少 事情 : 安装 并 运行 了 Jenkins， 创 建 了 第 
一 个 作业 。 这 个 Jenkins 作 业 使 用 Docker 创 建 了 一 个 镜像 ， 而 这 个 镜像 使 








用 仓库 里 的 Dockerfile 管理 和 更 新 。 这 种 情况 下 ， 不 但 架构 配置 和 代 
码 可 以 同步 更 新 ， 管 理 配置 的 过 程 也 变 得 很 简单 。 然 后 我 们 通过 镜像 创 
建 了 运行 测试 的 容器 。 测 试 完成 后 ， 可 以 丢弃 这 个 容器 。 整 个 测试 过 程 
轻 量 有 是 快速 。 将 这 个 例子 适 配 到 其 他 不 同 的 测试 平台 或 者 其 他 语言 的 测 
试 框架 也 很 容易 。 


也 可 以 使 用 参数 化 构建 OS 来 让 作业 和 shell 脚 本 更 加 通用 ， 方 便 应 用 到 更 多 框架 和 语 























5.4 多 配置 的 Jenkins 


之 前 我 们 已 经 见 过 使 用 Jenkins 构 建 的 简单 的 单个 容器 。 如 果 要 测试 的 应 
用 依赖 多 个 平台 怎么 办 ? 假设 要 在 Ubuntu、Debian 和 CentOS 上 测试 这 个 
程序 。 要 在 多 平台 测试 ， 可 以 利用 Jenkins 里 叫 “ 多 配置 作业 ”的 作业 类 型 
的 特性 。 多 配置 作业 允许 运行 一 系列 的 测试 作业 。 当 Jenkins 多 配置 作业 
运行 时 ， 会 运行 多 个 配置 不 同 的 子 作 业 。 


5.4.1 创建 多 配置 作业 


现在 来 创建 一 个 新 的 多 配置 作业 。 从 Jenkins 控 制 台 里 单 击 New Item 
(新 项 目 ) ， 将 新 作业 命名 为 Docker_matrix_ job ， 选 择 Multi- 
configuration project (创建 多 配置 项 目 ) ， 并 单 击 OK 按 钮 ， 如 图 
5-10 所 示 。 
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图 5-10 ”创建 多 配置 作业 


这 个 页 面 与 之 前 看 到 的 创建 作业 时 的 页 面 非常 类 似 。 给 作业 加 上 摘 述 ， 
选择 Git 作 为 仓库 类 型 ， 并 指定 之 前 那个 示例 应 用 的 仓 

JÆ: https://github.com/jamtur01/docker-jenkins-sample. git 。 有 具体 如 图 5- 
11 所 示 。 
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图 5-11 设置 多 配置 作业 1 


接 下 来 ， 向 下 滚动 ， 开 始 设置 多 配置 的 维度 (axis) 。 维 度 是 指 作为 作 
业 的 一 部 分 执行 的 一 系列 元 素 。 单 击 Add Axis (添加 维度 按钮， 并 
选择 User-defined Axis 〈 用 户 目 定义 维度 ) 。 指 定 这 个 维度 的 名 字 
AOS (OS 是 Operating System 的 缩写 ) ， FARA, 即 centos 
、debian 和 ubuntu 。 当 执行 多 配置 作业 时 ，Jenkins 会 查找 这 个 维度 ， 
并 生成 3 个 作业 : 维度 上 的 每 个 值 对 应 一 个 作业 。 


还 要 注意 ， 在 Build Environment (构建 环境 ) 部 分 我 们 单 击 了 
Delete workspace before build starts oe 
HD) 。 这 个 选项 会 在 一 系列 新 作业 初始 化 之 前 ， 通 过 删除 已 经 签 出 的 仓 
库 ， 清 理 构建 环境 。 具 体 如 图 5-12 所 示 。 
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图 5-12 ”设置 多 配置 作业 2 


最 后 ， 我 们 通过 一 个 简单 的 shell 脚 本 指定 了 另 一 个 shell 构 建 步骤 。 这 个 
脚本 是 在 之 前 使 用 的 shell 脚 本 的 基础 上 修改 而 成 的 ， 如 代码 清单 5-83 所 
示 。 





代码 清单 5-83 ”Jenkins 多 配置 shell 脚 本 





# 构建 此 次 运行 需要 的 镜像 

cd $0S && IMAGE=$(docker build . | tail -1 | awk '{ print $NF }') 
# 构建 挂 载 到 Docker 的 目录 

MNT="$WORKSPACE/.." 

# 在 Docker 内 执行 构建 过 程 
CONTAINER=$(docker run -d -v "$MNT:/opt/project" $IMAGE /bin/bash 
-c "cd/opt/project/$0S && rake spec") 

# 进入 容器 ， 以 便 可 以 看 到 输出 的 内 容 
docker attach $CONTAINER 

# 进程 退出 后 ， 得 到 返回 值 
RC=$(docker wait $CONTAINER) 

# 删除 刚刚 使 用 的 容器 

docker rm $CONTAINER 

# 使 用 刚才 的 返回 值 退出 脚本 

exit $RC 





























来 看 看 这 个 脚本 有 哪些 改动 : 每 次 执行 作业 都 会 进入 不 同 的 以 操作 系统 
为 名 的 目录 。 在 我 们 的 测试 仓库 里 有 3 个 目录 : centos, debian 和 
ubuntu 。 每 个 目录 里 的 Dockerfile 都 不 同 ， 分 别 包含 构建 CentOS、 
Debian 和 Ubuntu 镜像 的 指令 。 这 意味 着 每 个 被 启动 的 作业 都 会 进入 对 应 
的 目录 ， 构 建 对 应 的 操作 系统 的 镜像 ， 安 装 相 应 的 环境 需求 ， 并 局 动 基 
于 这 个 镜像 的 容器 ， 最 后 在 容器 里 运行 测试 。 


我 们 来 看 这 些 新 的 Dockerfile 中 的 一 个 ， 如 代码 清单 5-84 所 示 。 


代码 清单 5-84 基于 CentOS 的 Dockerfile 
































FROM centos:latest 
MAINTAINER James Turnbull "james@example.com" 
ENV REFRESHED_AT 2014-06-01 


RUN yum -y install ruby rubygems rubygem-rake 
RUN gem install --no-rdoc --no-ri rspec ci_reporter_rspec 





这 是 一 个 基于 以 前 的 作业 针对 CentOS 修 改过 的 Dockerfile . ix 
个 Dockerfile 和 之 前 做 的 事情 一 样 ， 只 是 改 为 使 用 适合 CentOS 的 命 
令 ， 比 如 使 用 yum 来 安装 包 。 


加 入 一 个 构建 后 的 动作 Publish JUnit test result report (发 布 
JUnit 测 试 结果 )〉 并 指定 XML 和 输出 的 位 置 为 spec/reports/*.xml] 。 这 
样 可 以 检查 测试 输出 的 结果 。 


最 后 ， 单 击 Save 来 创建 新 作业 ， 并 保存 配置 。 
现在 可 以 看 到 刚刚 创建 的 作业 ， 并 且 注 意 到 这 个 作业 包含 一 个 叫 


作 Configurations (配置 ) 的 区 域 ， 包 含 了 该 作业 的 各 维度 上 每 个 元 
素 的 子 作业 ， 如 图 5-13 所 示 。 
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5.4.2 ”测试 多 配置 作业 


现在 我 们 来 测试 这 个 新 作业 。 单 击 Build Now 按钮 启动 多 配置 作业 。 当 
Jenkins 开 始 运 行 时 ， 会 完 创建 一 个 主 作业 。 之 后 ， 这 个 主 作业 会 创建 3 
个 子 作 业 。 每 个 子 作 业 会 使 用 选 定 的 3 个 平台 中 的 一 个 来 执行 测试 。 


EE 和 之 前 的 作业 一 样 ， 第 一 次 运行 作业 时 也 需要 一 些 时 间 来 构建 测试 所 需 的 镜像 。 一 旦 镜 
像 构 建 好 后 ， 下 一 次 运行 就 会 快 很 多 。Docker 只 会 在 更 新 了 Dockerfile 之 后 修改 镜像 。 


可 以 看 到 ， 主 作业 会 先 执行 ， 然 后 执行 每 个 子 作 业 。 其 中 新 的 centos 
子 作 业 的 输出 如 图 5-14 所 示 。 
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图 5-14 ”centos 子 作业 


可 以 看 到 ，centos 作业 已 经 执行 了 : 绿 球 图 标 表示 这 个 测试 执行 成 
功 。 可 以 更 深入 地 看 一 下 执行 细节 。 单 击 Build History 里 第 一 个 
条 ， 如 图 5-15 所 示 。 
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图 5-15 ”centos 子 作业 细节 


在 这 里 可 以 看 到 更 多 centos 作业 的 执行 细节 。 可 以 看 到 这 个 作 

业 Started by upstream project Docker _matrix job ， 构 建 编 号 
为 1。 要 看 执行 时 的 精确 细节 ， 可 以 单 击 Console Output 链接 来 得 看 
控制 台 的 输出 内 容 ， 有 基体 如 图 5-16 所 示 。 
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> git config --add resote. origin. fetch +rofs/bosds/*:rofs/rozotos/origia/* # tiseout=10 
w) Test Result > git config remote.origin.url httoe://github.com/jamtur0l/docker-jenkins-samplo.git # timeout=10 

Petching upstream changes from httpa://aithub.com/sjamtur0)/docker-jenkina-sample.git 

> git -c core.askpassetrue fetch ~ js --progress httpse://github,com/jamtur0l/docker-jenkina- 

nample.git +refs/heads/*:refs/remotes/origin/* 

Checking out Revision e4630a7c4at 7b26i4acetcl StecdSdas34c44l2c (refs/remotes/origin/master) 

> git config core.sparsecheckout # t put=10 

> git checkout -f 04030a7c4a17b2614a008c1580cd5da434c4412c 

Pirst time build. Skipping changelog. 
{centos} $ /bin/sh -xe /tmp/hadsoné415655340850084543.0h 
cd centos 
avk { print Sur } 
tail =l 
docker build . 
IMAGE8£429037526a 
MIT+/opt/jenkins/data/workspace/Docker_matrix_job/0S/centos/.. 
docker run -d -v /opt/jenkina/data/workspace/Docker_matrix_job/08/centos/..:/opt/project 
8£429637526a /bin/bash -¢ cd /opt/project/centos 66 rake spec 
+ COKTAINERw5d843444bd4316a2a7e5dd19ab3ff90balad3e2188e3b140704601fBe07975ae 
+ docker attach 5d843444bd4316a2a7e5dd19ab3tf9ogbaiad3e2188e3b140704601fbe07974ae 
ra -rf spec/reports 
/usr/bin/ruby -1/usr/local/sharo/geas/geas/rspoc-core-3.2.3/ 
support-3.2.2/líb /usr/local/share/gena/gems/rspec-core-3.2.3/exe/rspec --pattern spec 


















/Lib:/esr/local /share/gems/geas/rapec- 
_Spec.rb =- 





图 5-16 ”centos 子 作业 的 控制 台 输 出 


可 以 看 到 ， 这 个 作业 复制 了 仓库 ,构建 了 需要 的 Docker 镜 像 ， 从 镜像 启 
动 了 容器 ， 最 后 运行 了 所 有 的 测试 。 所 有 测试 都 成 功 了 “(如果 有 需要 ， 
可 以 单 击 Test Result 链接 来 检查 测试 上 传 的 JUnit 结 果 ) 。 











现在 这 个 简单 又 强大 的 多 平台 测试 应 用 程序 的 例子 就 成 功 演示 完了 。 
5.4.3 ” ”Jenkins 多 配置 作业 小 结 


这 些 例子 展示 了 在 Jenkins 持 续集 成 中 使 用 Docker 的 简单 实现 。 读 者 可 以 
对 这 些 例子 进行 扩展 ， 加 入 从 自动 化 触发 构建 到 包含 多 平台 、 多 架构 、 
多 版 本 的 多 级 作业 矩阵 等 功能 。 那 个 简单 的 构建 脚本 也 可 以 写 得 更 加 严 
谨 ， 或 者 支持 执行 多 个 容器 (比如 ， 为 网 页 、 数 据 库 和 应 用 程序 层 提供 
分 离 的 容器 ， 以 模拟 更 加 真实 的 多 层 生 产 环 境 ) 。 


5.5 其 他 选择 


在 Docker 的 生态 环境 中 ， 持 续集 成 和 持续 部 署 〈CLCD) 是 很 有 意思 的 
一 部 分 。 除 了 与 现 有 的 Jenkins 这 种 工具 集成 ， 也 有 很 多 人 直接 使 用 
Docker 来 构建 这 类 工具 。 








5.5.1 Drone 





Drone 是 著名 的 基于 Docker 开 发 的 CUCD 工 具 之 一 。 它 是 一 个 SaaS 持 续集 
成 平台 ， 可 以 与 GitHub、Bitbucket 和 Google Code 仓 库 关 联 ， 支 持 各 种 语 
言 ， 包 括 Python、Node.js、Ruby、Go 等 。Drone 在 一 个 Docker 容 器 内 运 
行 加 到 其 中 的 仓库 的 测试 集 。 


5.5.2 Shippable 


Shippable 是 免费 的 持续 集成 和 部 署 服 务 ， 基 于 GitHub 和 Bitbucket。 乞 非 
常 快 ， 也 很 轻 量 ， 原 生 支 持 Docker。 


5.6 小结 


本 章 演 示 了 如 何在 开发 和 测试 流程 中 使 用 Docker。 我 们 看 到 如 何在 本 地 

工作 站 或 者 虚拟 机 里 以 一 个 开发 者 为 中 心 使 用 Docker 做 测试 ， 也 探讨 了 

如 何 使 用 Jenkins CI 这 种 持续 集成 工具 配合 Docker 进 行 可 扩展 的 测试 。 我 

O a a 以 及 如 何 构建 分 布 式 
ME VEN. 


FARIDA T AEE Dockerfé Er ba Pe eA aa AE 
登 、 可 扩展 的 弹性 服务 。 
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第 6 章 ”使 用 Docker 构 建 服 务 





第 5 章 介 绍 了 如 何 利用 Docker 来 使 用 容器 在 本 地 开发 工作 流 和 持续 集成 
eee ee 
环境 的 服务 。 


本 章 首 先 会 构建 简单 的 应 用 ， 然 后 会 构建 一 个 更 复杂 的 多 容 右 应 用 。 这 
些 应 用 会 展示 ， 如 何 利 用 链接 和 卷 之 类 的 Docker 特 性 来 组 合并 管理 运行 
于 Docker 中 的 应 用 。 


6.1 构建 第 一 个 应 用 


要 构建 的 第 一 个 应 用 是 使 用 Jekyll 框架 H 的 自 定义 网 站 。 我 们 会 构建 以 
下 两 个 镜像 。 


。 一 个 镜像 安装 了 Jekyll 及 其 他 用 于 构建 Jekyll 网 站 的 必要 的 软件 包 。 
。 一 个 镜像 通过 Apache 来 让 Jekyll 网 站 工作 起 来 。 


我 们 打算 在 局 动容 器 时 ， 通 过 创建 一 个 新 的 Jekyll 网 站 来 实现 目 服 务 。 
工作 流程 如 下 。 


。 创建 Jekyll 基 础 镜像 和 Apache 镜 像 〈 只 需要 构建 一 次 ) 。 

。 从 Jekyll 镜 像 创建 一 个 容器 ， 这 个 容器 存放 通过 卷 挂 载 的 网 站 源 代 

。 从 Apache 镜 像 创建 一 个 容器 ， 这 个 容器 利用 包含 编译 后 的 网 站 的 
卷 ， 并 为 其 服务 。 

。 在 网 站 需要 更 新 时 ， 清 理 并 重复 上 面 的 步 又 。 


可 以 把 这 个 例子 看 作 是 创建 一 个 多 主机 站 点 最 简单 的 方法 。 实 现 很 简 
单 ， 本 章 后 半 部 分 会 以 这 个 例子 为 基础 做 更 多 扩展 。 











6.1.1 ” Jekyll 基础 镜像 


让 我 们 开始 为 第 一 个 镜像 (Jekyll 基 础 镜像 ) 创建 Dockerfile 。 我 们 先 
创建 一 个 新 目录 和 一 个 空 的 Dockerfile ， 如 代码 清单 6-1 所 示 。 


代码 清单 6-1 创建 Jekyll Dockerfile 








$ mkdir jekyll 
$ cd jekyll 


$ vi Dockerfile 





现在 我 们 来 看 看 Dockerfile 文件 的 内 容 ， 如 代码 清单 6-2 所 示 。 


代码 清单 6-2 Jekyll Dockerfile 








FROM ubuntu:14.04 

MAINTAINER James Turnbull <james@example.com> 

ENV REFRESHED_AT 2014-06-01 

RUN apt-get -yqq update 

RUN apt-get -yqq install ruby ruby-dev make nodejs 

RUN gem install --no-rdoc --no-ri jekyll -v 2.5.3 

VOLUME /data 

VOLUME /var/www/html 

WORKDIR /data 

ENTRYPOINT [ "jekyll", "build", "--destination=/var/www/html" ] 





这 个 Dockerfile 使 用 了 第 3 章 里 的 模板 作为 基础 。 镜 像 基 于 Ubuntu 
14.04， 并 且 安 装 了 Ruby 和 用 于 支持 Jekyll 的 包 。 然 后 我 们 使 用 VOLUME 
指令 创建 了 以 下 两 个 卷 。 


e /data/ ， 用 来 存放 网 站 的 源 代码 。 
e /var/www/html/ ， 用 来 存放 编译 后 的 Jekyl 网 站 伍 。 


人 后 我 们 吉野 将 工作 REE /data/ ， 并 通过 ENTRYPOINT 指令 指 


定 自动 构建 的 命令 ， 这 个 命令 会 将 工作 目录 /data/ 中 的 所 有 的 Jekyl 网 
站 代码 构建 到 /var /www/htm1l/ 目录 中 。 


6.1.2 构建 Jekyll 基 础 镜像 


通过 这 个 Dockerfile ， 可 以 使 用 docker build 命令 构建 出 可 以 启动 
容 右 的 镜像 ， 如 代码 清单 6-3 所 示 。 

















代码 





单 6-3 ”构建 Jekyll 镜 像 


at 
ri 








$ sudo docker build -t jamture@1/jekyll . 
Sending build context to Docker daemon 2.56 kB 
Sending build context to Docker daemon 
Step © : FROM ubuntu:14.04 
---> 99ec81b8@c55 
Step 1 : MAINTAINER James Turnbull <james@example.com> 


Step 7 : ENTRYPOINT [ "jekyll", "build" "--destination=/var/www/html" | 
---> Running in 542e2de2@29d 
---> 79009691f408 

Removing intermediate container 542e2de2029d 

Successfully built 79009691408 


pO 


这 样 就 构建 了 名 为 jamtur61/jeky11 . IDW79009691F408 的 新 镜 
像 。 这 就 是 将 要 使 用 的 新 的 Jekyll 镜 像 。 可 以 使 用 docker images 命令 
来 查看 这 个 新 镜像 ， 如 代码 清单 6-4 所 示 。 


代码 清单 6-4 查看 新 的 Jekyll 基 础 镜像 








$ sudo docker images 

REPOSITORY TAG ID CREATED SIZE 

jamtur@1/jekyll latest 79009691f408 6 seconds ago 12.29 kB (virtual 671 
MB) 





6.1.3 “Apache 镜像 


接 下 来 ， 我 们 来 构建 第 二 个 锐 像 ， 一 个 用 来 染 构 新 网 站 的 Apache 服 务 
右 。 我 们 先 创 建 一 个 新 目录 和 一 个 空 的 Dockerfile ， 如 代码 清单 6-5 所 
ZN o 





代码 清单 6-5 ”创建 Apache Dockerfile 





$ mkdir apache 
$ cd apache 
$ vi Dockerfile 





现在 我 们 来 看 看 这 个 Dockerfile 的 内 容 ， 如 代码 清单 6-6 所 示 。 


代码 清单 6-6 Jekyll Apache 的 Dockerfile 








FROM ubuntu:14.04 

MAINTAINER James Turnbull <james@example.com> 
ENV REFRESHED AT 2014-06-01 

RUN apt-get -yqq update 

RUN apt-get -yqq install apache2 

VOLUME [ "/var/www/html" ] 

WORKDIR /var/www/html 


ENV APACHE_RUN_USER www-data 

ENV APACHE_RUN_GROUP www-data 

ENV APACHE_LOG_DIR /var/log/apache2 

ENV APACHE_PID_ FILE /var/run/apache2.pid 

ENV APACHE_RUN_DIR /var/run/apache2 

ENV APACHE_LOCK_DIR /var/lock/apache2 

RUN mkdir -p $APACHE_RUN_DIR $APACHE_LOCK_DIR $APACHE_LOG_DIR 
EXPOSE 86 

ENTRYPOINT [ "/usr/sbin/apache2" | 

CMD ["-D", "FOREGROUND" ] 





这 个 镜像 也 是 基于 Ubuntu 14.04 的 ， 并 安装 了 Apache。 然 后 我 们 使 
用 VOLUME 指令 创建 了 一 个 卷 ， 即 /var/ywww/htm1/ ， 用 来 存放 编译 后 
的 Jeky11 网 站 。 然 后 将 /var/www/html 设 为 工作 目录 。 


然后 我 们 使 用 ENV 指令 设置 了 一 些 必要 的 环境 变量 ， 创 建 了 必要 的 目 
录 ， 并 且 使 用 EXPOSE AST S80 端口 。 最 后 指定 了 ENTRYPOINT 和 CMD 
SARRERA Jd SIN BRAS 17 Apache. 








6.1.4 JÆ Jekyll Apache‘ 1% 


有 了 这 个 Dockerfile ， 可 以 使 用 docker build 命令 来 构建 可 以 启动 
容 右 的 镜像 ， 如 代码 清单 6-7 所 示 。 





代码 清单 6-7 构建 Jekyll Apache 镜 像 








$ sudo docker build -t jamtur@1/apache . 
Sending build context to Docker daemon 2.56 kB 
Sending build context to Docker daemon 
Step @ : FROM ubuntu:14.04 

---> 99ec81b80c55 


Step 1 : MAINTAINER James Turnbull <james@example.com> 
---> Using cache 
---> c444e8ee0058 


Step 11 : CMD ["-D", "FOREGROUND" ] 

---> Running in 7aa5c127b41e 

---> £c8e9135212d 
Removing intermediate container 7aa5c127b41e 
Successfully built fc8e9135212d 


[L CR 


这 样 就 构建 了 名 为 jamtur61/apache 、ID 为 fc8e9135212d 的 新 镜 
像 。 这 就 是 将 要 使 用 的 Apache 镜 像 。 可 以 使 用 docker images 命令 来 
得 看 这 个 新 镜像 ， 如 代码 清单 6-8 所 示 。 


代码 清单 6-8 ”查看 新 的 Jekyll Apache 镜 像 











$ sudo docker images 
REPOSITORY TAG ID CREATED SIZE 
jamtur@1/apache latest fc8e9135212d 6 seconds ago 12.29 kB (virtual 671 


MB) 





6.1.5 ”局 动 Jekyll 网 站 
现在 有 了 以 下 两 个 镜像 。 


e Jekyll: 安装 了 Ruby 及 其 他 必 备 软件 包 的 Jekyl 镜 像 。 
e Apache: 通过 Apache Web 服 务 器 来 让 Jekyl 网 站 工作 起 来 的 镜像 。 


我 们 从 使 用 docker run 命令 来 创建 一 个 新 的 Jekyl 容 器 开始 我 们 的 网 
站 。 我 们 将 启动 容器 ， 并 构建 我 们 的 网 站 。 


然后 我 们 需要 一 些 我 的 博客 的 源 代码 。 先 把 示例 Jekyll 博 客 复制 到 $HOME 
目录 (在 这 个 例子 里 是 /home/james ) 中 ， 如 代码 清单 6-9 所 示 。 


代码 清单 6-9 创建 示例 Jekyll 博 客 














$ cd $HOME 
$ git clone https://github.com/jamtur@1/james_blog.git 





在 这 个 目录 下 可 以 看 到 一 个 启用 了 Twitter Bootstrap P! 的 最 基础 的 Jekyll 
博客 。 如 果 你 也 想 使 用 这 个 博客 ， 可 以 修改 _config.yml 文件 和 主 
题 ， 以 符合 你 的 要 求 。 


现在 在 Jekyll 容 器 里 使 用 这 个 示例 数据 ， 如 代码 清单 6-10 所 示 。 


代码 清单 6-10 ”创建 Jekyll 容 器 





$ sudo docker run -v /home/james/james_blog:/data/ \ 
--name james blog jamtur@1/jekyll 
Configuration file: /data/_config.yml 

Source: /data 


Destination: /var/www/html 
Generating... 
done. 





我 们 启动 了 一 个 叫 作 james blog 的 新 容器 ， 把 本 地 的 james blog H 
录 作 为 /data/ 卷 挂 载 到 容器 里 。 容 器 已 经 拿 到 网 站 的 源 代 码 ， 并 将 其 
构建 到 已 编译 的 网 站 ， 存 放 到 /var/www/html/ 目录 。 


卷 是 在 一 个 或 多 个 容器 中 特殊 指定 的 目录 ， 卷 会 经 过 联合 文件 系统 ， 为 
持久 化 数据 和 共 衬 数据 提供 几 个 有 用 的 特性 。 


。 卷 可 以 在 容器 间 共 享 和 重用 。 

共 至 卷 时 不 一 定 要 运行 相应 的 容 絮 。 

对 卷 的 修改 会 直接 在 卷 上 反映 出 来 。 
更 新 镜像 时 不 会 包含 对 卷 的 修改 。 
卷 会 一 直 存 在 ， 直 到 没有 容器 使 用 它们 。 


利用 卷 ， 可 以 在 不 用 提交 镜像 修改 的 情况 下 ， 癌 镜像 里 加 入 数据 (如 源 
代码 、 数 据 或 者 其 他 内 容 ) ， 并 且 可 以 在 容器 间 共 享 这 些 数据 。 


卷 在 Docker 宿 主机 的 /var/Lib/docker/volumes 目录 中 。 可 以 通过 
docker inspect 命令 查看 某 个 卷 的 具体 位 置 ， 如 docker inspect - 
f "{{ range .Mounts }} ~ {{.}}{{end}}"。 

E Docker 1.9 中 ， 卷 功能 已经 得 到 扩展 ， 能 通过 插件 的 方式 支持 第 三 方 存储 系统 ， 如 


Ceph、Flocker 和 EMC 等 。 可 以 在 卷 插件 文档 B 和 docker volume create 命令 文档 M 中 获 
得 更 详细 的 解释 。 


所 以 ， 如 果 想 在 男 一 个 容器 里 使 用 /var/www/html/ 卷 里 编译 好 的 网 
站 ， 可 以 创建 一 个 新 的 链接 到 这 个 卷 的 容器 ， 如 代码 清单 6-11 所 示 。 






































代码 清单 6-11 创建 Apache 容 器 








$ sudo docker run -d -P --volumes-from james blog jamtur@1/apache 
€9a570cc2267019352525079Fbba9927806F782acb88213bd38dde7e2795407d 





这 看 上 去 和 典型 的 docker run 很 像 ， 只 是 使 用 了 一 个 新 标志 -- 
volumes-from 。 标 志 --volumes-from 把 指定 容器 里 的 所 有 卷 都 加 入 
新 创建 的 容器 里 。 这 意味 着 ，Apache 容 器 可 以 访问 之 前 创建 的 
james_blog 容器 里 /var/www/html 卷 中 存放 的 编译 后 的 Jekyl 网 站 。 
即便 james_blog 容器 没有 运行 ，Apache 容 器 也 可 以 访问 这 个 卷 。 想 
想 ， 这 只 是 卷 的 特性 之 一 。 不 过 ， 容 器 本 身 必须 存在 。 


EER 了 使 删除 了 使 用 了 卷 的 最 后 一 个 容器 ， 卷 中 的 数据 也 会 持久 保存 。 























构建 Jekyll 网 站 的 最 后 一 步 是 什么 ? 来 查看 一 下 容 霹 把 已 公开 的 88 vin H 
映射 到 了 哪个 端口 ， 如 代码 清单 6-12 所 示 。 














代码 清单 6-12 ”解析 Apache 容 器 的 端口 














$ sudo docker port 69a576cc2267 80 
0.0.0.0:49160 





现在 在 Docker 和 宿主 机 上 浏览 该 网 站 ， 如 图 6-1 所 示 。 


& Cc docker.example.com:49160 


mes’ Docker-Driven Blog 


Hello World! suppo: 


Read Jeky? Q k Start 


Complete usage and documentation available at: Jeky! Bootstrap 
Update Author Attributes 


remember to specify your o 





图 6-1 Jekyll PX ii 
现在 终于 把 Jekyll 网 站 运行 起 来 了 ! 
6.1.6 EJ Jekyll ih 
如 果 要 更 新 网 站 的 数据 ， 就 更 有 意思 了 。 假 设 要 修改 Jekyl 网 站 。 我 们 


将 通过 编辑 james_blog/_config.yml 文件 来 修改 博客 的 名 字 ， 如 代 
码 清单 6-13 所 示 。 





代码 清单 6-13 ”编辑 Jekyll 博 客 


$ vi james_blog/_config.yml 


并 将 title 域 改 为 James' Dynamic Docker-driven Blog 。 


那么 如 何 才能 更 新 博客 网 站 呢 ? 只 需要 再 次 使 用 docker start 命令 局 
动 Docker 容 器 即 可 ， 如 代码 清单 6-14 所 示 。 


代码 清单 6-14 ”再 次 启动 james_blog 容器 



































$ sudo docker start james_blog 
james_blog 


[L CR 


看 上 去 什么 都 没 发 生 。 我 们 来 得 看 一 下 容 需 的 日 志 ， 如 代码 清单 6-15 所 
示 











代码 清单 6-15 ”查看 james_blog 容器 的 日 志 

















$ sudo docker logs james blog 
Configuration file: /data/_config.yml 
Source: /data 
Destination: /var/www/html 
Generating... 
done. 


Configuration file: /data/_config.yml 
Source: /data 
Destination: /var/www/html 
Generating... 


done. 








可 以 看 到 ，Jekyll 编 译 过 程 第 二 次 被 运行 ， 并 且 网 站 已 经 被 更 新 。 这 次 
更 新 已 经 写 入 了 对 应 的 卷 。 现 在 浏览 Jekyl 网 站 ， 就 能 看 到 变化 了 ， 如 
图 6-2 所 示 。 


é e docker.example.com:49160 





James's Dynamic Docker-Driven Biog Archive Categor 


Hello World! Supporting tagline 


Read Jekyll Quick Start 


Complete usage and documentation avaiable at: Jekyll Bootstrap 


Update Author Attributes 


In _config.yal remember to specify your own data: 
title : My Blog =) 


author : 
name : Name Lastname 
email : blah@email.test 
githud : usernane 
tter sername 


The theme shouid reference these variables whenever needed. 





图 6-2 ”更 新 后 的 Jekyll 网 站 
由 于 共 豆 的 卷 会 日 动 更 新 ， 这 一 切 都 不 需要 更 新 或 者 重启 Apache 容 器 。 








这 个 流程 非常 简单 ， 可 以 将 其 扩展 到 更 复杂 的 部 署 环 境 。 
6.1.7 ”备份 Jekyll 卷 


你 可 能 会 担心 万 一 不 小 心 删除 卷 〈 尽 管 能 使 用 已 有 的 步骤 轻松 重建 这 个 
卷 )。 由 于 卷 的 优点 之 一 束 是 可 以 挂 载 到 任意 容器 ， 因 此 可 以 轻松 备份 
它们 。 现 在 创建 一 个 新 容器 ， 用 来 备份 /var/www/html 卷 ， 如 代码 清 
单 6-16 所 示 。 








代码 清单 6-16 ”备份 /var/www/html 卷 





$ sudo docker run --rm --volumes-from james blog \ 
-v $(pwd):/backup ubuntu \ 

tar cvf /backup/james_blog backup.tar /var/www/html 
tar: Removing leading '/' from member names 
/var/www/html/ 

/var/www/html/assets/ 

/var/www/html/assets/themes/ 


$ ls james blog backup.tar 
james_blog backup.tar 





这 里 我 们 运行 了 一 个 已 有 的 Ubuntu 容器 ， 并 把 james_b1og 的 卷 挂 载 到 
Za A o 这 会 在 该 容器 里 创建 /var/www/html 目录 。 然 后 我 们 使 用 - 
v 标志 把 当前 目录 (通过 $ (pwd) 命令 获得 ) 挂 载 到 容器 的 /backup H 
Ko MARIRI AREMA, WRA 6-17 .- 

EB 我 们 还 指定 了 - - rm 标志 ， 这 个 标志 对 于 只 用 一 次 的 容器 ， 或 者 说 用 完 即 扔 的 容器 ， 很 


有 用 。 这 个 标志 会 在 容器 的 进程 运行 完毕 后 ， 上 自动 删除 容器 。 对 于 只 用 一 次 的 容器 来 说 ， 这 
是 一 种 很 方便 的 清理 方法 。 






























































代码 清单 6-17 备份 命令 


tar cvf /backup/james_blog backup.tar /var/www/html 


这 个 命令 会 创建 一 个 名 为 jams_blog_backup.tar 的 tar 文 件 〈 该 文件 
包括 了 /var/www/html 目录 里 的 所 有 内 容 ) ， 然 后 退出 。 这 个 过 程 创 





建 了 卷 的 备份 。 


这 显然 只 是 一 个 最 简单 的 备份 过 程 。 用 户 可 以 扩展 这 个 命令 ， 备 份 到 本 
地 存储 或 者 云端 (如 Amazon S3 9! 或 者 更 传统 的 类 似 Amanda E 的 备份 
软件 ) 。 


E 这 个 例子 对 卷 中 存储 的 数据 库 或 者 其 他 类 似 的 数据 也 适用 。 只 要 简单 地 把 卷 挂 载 到 新 容 
器 ， 完 成 备份 ， 然 后 废弃 这 个 用 于 备份 的 容器 就 可 以 了 。 












































6.1.8 扩展 Jekyl 示 例 网 站 
下 面 是 几 种 扩展 Jekyl 网 站 的 方法 。 


e 运行 多 个 Apache 容 右 ， 这 些 容器 都 使 用 来 自 james_blog 容器 的 
卷 。 II 我 们 就 拥有 了 一 个 
Web 集 和 群 。 

。 进一步 构建 一 个 镜像 ， 这 个 镜像 把 用 户 提供 的 源 数 据 复制 〈 如 通过 

git clone) 到 卷 里 。 再 把 这 个 卷 挂 载 到 从 jamtur61/Jjeky11l 镜 

像 创建 的 容器 。 这 惑 是 一 个 可 迁移 的 通用 方案 ， 而 且 不 需要 宿主 机 

本 地 包含 任何 源 代 码 。 

在 上 一 个 扩展 基础 上 可 以 很 容易 为 我 们 的 服务 构建 一 个 web 前 端 ， 

这 个 服务 用 于 从 指定 的 源 上 自动 构建 和 部 上 车 网 站 。 这 样 用 户 就 有 一 个 

完全 属于 自己 的 GitHub Pages 了 。 





6.2 ”使 用 Docker 构 建 一 个 Java 应 用 服务 


现在 我 们 来 试 一 些 稍微 不 同 的 方法 ， 考 虑 把 Docker 作 为 应 用 服务 器 和 编 
译 管 道 。 这 次 做 一 个 更 加 “企业 化 ” 且 用 于 传统 工作 负载 的 服务 : 获取 
Tomcat 服 务 器 上 的 WAR 文 件 ， 并 运行 一 个 Java 应 用 程序 。 为 了 做 到 这 一 
点 ， 构 建 一 个 有 两 个 步骤 的 Docker 管 道 。 





。 一 个 镜像 从 URL 拉 取 指 定 的 WAR 文 件 并 将 其 保存 到 卷 里 。 
。 一 个 含有 Tomcat 服 务 器 的 镜像 运行 这 些 下 载 的 WAR 文 件 。 


6.2.1 WAR 文 件 的 获取 程序 


我 们 从 构建 一 个 镜像 开始 ， 这 个 镜像 会 下 载 WAR 文 件 并 将 其 挂 载 在 卷 
里 ， 如 代码 清单 6-18 所 示 。 

















代码 清单 6-18 创建 获取 程序 Cfetcher) 的 Dockerfile 








$ mkdir fetcher 
$ cd fetcher 
$ touch Dockerfile 





现在 我 们 来 看 看 这 个 Dockerfile 的 内 容 ， 如 代码 清单 6-19 所 示 。 


代码 清单 6-19 ”WAR 文件 的 获取 程序 








FROM ubuntu:14.04 

MAINTAINER James Turnbull <james@example.com> 
ENV REFRESHED_AT 2014-06-01 

RUN apt-get -yqq update 

RUN apt-get -yqq install wget 

VOLUME [ "/var/lib/tomcat7/webapps/" ] 


WORKDIR /var/lib/tomcat7/webapps/ 
ENTRYPOINT [ "wget" ] 
CMD [ "-?" ] 





这 个 非常 简单 的 镜像 只 做 了 一 件 事 : 容器 执行 时 ， 使 用 wget 从 指定 的 


URL 获 取 文 件 并 把 文件 保存 在 /var/1ib/tomcat7/webapps/ Hak. ix 
个 目录 也 是 一 个 卷 ， 并 且 是 所 有 容器 的 工作 目录 。 然 后 我 们 会 把 这 个 卷 
共享 给 Tomcat 服 务 器 并 且 运 行 里 面 的 内 容 。 

最 后 ， 如 果 没 有 指定 URL，ENTRYPOINT 和 CMD 指令 会 计 容 器 运行 ， 在 
容器 不 带 URL 运 行 的 时 候 ， 这 两 条 指令 通过 返回 wget 帮助 来 做 到 这 一 
A 


JNO 


现在 我 们 来 构建 这 个 镜像 ， 如 代码 清单 6-20 所 示 。 


代码 清单 6-20 ”构建 获取 程序 的 镜像 


$ sudo docker build -t jamtur@1/fetcher . 


6.2.2 ”获取 WAR 文 件 


现在 让 我 们 获取 一 个 示例 文件 来 启动 新 镜像 。 从 https://tomcat. 
apache.org/tomcat-7.0-doc/ appdev/sample/ 下 载 Apache Tomcat 示 例 应 用 ， 
如 代码 清单 6-21 所 示 。 























代码 清单 6-21 获取 WAR 文 件 





$ sudo docker run -t -i --name sample jamtur61/fetcher \ 
https://tomcat.apache.org/tomcat-7.@-doc/appdev/sample/sample.war 
--2014-06-21 @6:05:19-- https://tomcat.apache.org/tomcat-7.@-doc/appdev/ 
sample/sample.war 
Resolving tomcat.apache.org (tomcat.apache.org)... 
140.211.11.131, 192.87.106.229, 2001:610:1:80bc:192:87:106:229 
Connecting to tomcat.apache.org (tomcat.apache.org) 


|140.211.11.131]| :443...connected. 
HTTP request sent, awaiting response... 20@ OK 
Length: 4606 (4.5K) 
Saving to: 'sample.war' 
>] 4,606 --.-K/s in 6s 
2014-06-21 06:05:19 (14.4 MB/s) - 'sample.war' saved [4606/4606] 





可 以 看 到 ， 容 器 通过 提供 的 URL 下 载 了 sample.war 文件 。 从 输出 结果 








看 不 出 最 终 的 保存 路 径 ， 但 是 因为 设置 了 容器 的 工作 目 
录 ，sample.war 文件 最 终 会 保存 到 /var/1ib/tomcat7/webapps/ 目 
录 中 。 


可 以 在 /var/1ib/docker 目录 找到 这 个 WAR 文 件 。 我 们 先 用 docker 
inspect 命令 查找 卷 的 存储 位 置 ， 如 代码 清单 6-22 所 示 。 


代码 清单 6-22 ”查看 示例 里 的 卷 























$ sudo docker inspect -f "{{ range .Mounts }}{{.}}{{end}}" sample 
{c20a0567145677ed46938825F285402566e821462632e1842e82bc51b47 Feddc 
/var/lib/docker/volumes/ 


C20a0567145677ed46938825F285402566e821462632e1842e82bc51b47Fed4dc 
/_data /var/lib/tomcat7/webapps local true} 





然后 我 们 可 以 得 看 这 个 目录 ， 如 代码 清单 6-23 所 示 。 
代码 清单 6-23 ”查看 卷 所 在 的 目录 




















$ ls -1 /var/lib/docker/volumes/ 
c20a0567145677ed46938825f285402566e821462632e1842e82bc51b47fe4dc 
/_data 

total 8 

-rw-r--r-- 1 root root 4606 Mar 31 2012 sample.war 





6.2.3 Tomecat7 应 用 服务 器 


现在 我 们 已 经 有 了 一 个 可 以 获取 WAR 文 件 的 镜像 ， 并 已 经 将 示例 WAR 
文件 下 载 到 了 容器 中 。 接 下 来 我 们 构建 Tomcat 应 用 服务 器 的 镜像 来 运行 
这 个 WAR 文 件 ， 如 代码 清单 6-24 所 示 。 








代码 清单 6-24 创建 Tomcat 7 Dockerfile 


$ mkdir tomcat7 
$ cd tomcat7 
$ touch Dockerfile 





现在 我 们 来 看 看 这 个 Dockerfile ， 如 代码 清单 6-25 所 示 。 


代码 清单 6-25 Tomcat 7 应 用 服务 器 























FROM ubuntu:14.04 

MAINTAINER James Turnbull <james@example.com> 

ENV REFRESHED AT 2014-06-01 

RUN apt-get -yqq update 

RUN apt-get -yqq install tomcat7 default-jdk 

ENV CATALINA_HOME /usr/share/tomcat7 

ENV CATALINA BASE /var/1lib/tomcat7 

ENV CATALINA PID /var/run/tomcat7.pid 

ENV CATALINA_SH /usr/share/tomcat7/bin/catalina.sh 
ENV CATALINA_TMPDIR /tmp/tomcat7-tomcat7-tmp 

RUN mkdir -p $CATALINA_TMPDIR 

VOLUME [ "/var/lib/tomcat7/webapps/" | 

EXPOSE 8080 

ENTRYPOINT [ "/usr/share/tomcat7/bin/catalina.sh", 





这 个 镜像 很 简单 。 我 们 需要 安装 Java JDK 和 Tomcat 服 务 器 。 我 们 首先 指 
定 一 些 启 动 Tomcat 需 要 的 环境 变量 ， 然 后 我 们 创建 一 个 临 时 目录 ， 还 创 
Æ J /var/lib/tomcat7/`` ``webapps/ 卷 ， 公 开 了 Tomcat 默 认 的 
8686 端口 ， 最 后 使 用 ENTRYPOINT 指令 来 启动 Tomcat。 


现在 我 们 来 构建 Tomcat 7 镜像 ， 如 代码 清单 6-26 所 示 。 


代码 清单 6-26 ”构建 Tomcat 7 镜像 











$ sudo docker build -t jamtur@1/tomcat7 . 





6.2.4 运行 WAR 文 件 
现在 ， 让 我 们 创建 一 个 新 的 Tomcat 实 例 ， 运 行 示 例 应 用 ， 如 代码 清单 6- 


27 上 所 示 。 











代码 清单 6-27 创建 第 一 个 Tomcat 实 例 


$ sudo docker run --name sample app --volumes-from sample \ 








-d -P Jamtur61/tomcat7 


这 会 创建 一 个 名 为 sample_app 的 容器 ， 这 个 容 右 会 复 用 sample Rè 
里 的 卷 。 这 意味 着 存储 在 /var/1ib/tomcat7/webapps/ 卷 里 的 WAR 
文件 会 从 sample 容器 挂 载 到 sample_app 容器 ， 最 终 被 Tomcat 加 载 并 
执行 。 

让 我 们 在 Web 浏 览 器 里 看 看 这 个 示例 程序 。 首先 ， 我 们 必须 使 用 docker 
port 命令 找 出 被 公开 的 端口 ， 如 代码 清单 6-28 所 示 。 


代码 清单 6-28 查找 Tomcat 应 用 的 端口 


























sudo docker port sample_app 8080 
@.0.0.0:49154 





现在 我 们 来 浏览 这 个 应 用 (使 用 URL 和 端口 ， 并 在 最 后 加 上 /sample ) 
看 看 都 有 什么 ， 如 图 6-3 所 示 。 


个 CC 人 docker.example.com:49154/sample 


[aan "Hello, World" Application 


This is the home page for a sample application used to illustrate the source directory organization of a web application utilizing the principles outlined 


Developer's 
To prove that they work, you can execute cither of the following links: 


e Toa JSP page 
e Toa serviet. 


图 6-3 ”我 们 的 Tomcat 示 例 应 用 
应 该 能 看 到 正在 运行 的 Tomcat 应 用 。 


6.2.5 ”基于 Tomcat 应 用 服务 器 的 构建 服务 


现在 有 了 自 服务 Web 服 务 的 基础 模块 ， 让 我 们 来 看 看 怎么 基于 这 些 基 础 
模块 做 扩展 。 为 了 做 到 这 一 点 ， 我 们 已 经 构建 好 了 一 个 简单 的 基于 
Sinatra 和 的 Web 应 用 ， 这 个 应 用 可 以 通过 网 页 目 动 展 示 Tomcat 应 用 。 这 个 
应 用 叫 TProv。 可 以 在 本 书 官网 上 或 者 GitHub [8 找到 其 源 代码 。 





然后 我 们 使 用 这 个 程序 来 演示 如 何 扩展 之 前 的 示例 。 首 先 ， 要 保证 已 经 
安装 了 Ruby， 如 代码 清单 6-29 所 示 。TProv 应 用 会 直接 安装 在 Docker 答 
主机 上 ， 因 为 这 个 应 用 会 直接 和 Docker 守 护 进程 交互 。 这 也 正 是 要 安装 
Ruby 的 地 方 。 


也 可 以 把 TProv 应 用 安装 在 Docker 容 器 里 。 























代码 清单 6-29 ”安装 Ruby 


$ sudo apt-get -qqy install ruby make ruby-dev 


然后 可 以 通过 Ruby gem 安 装 这 个 应 用 ， 如 代码 清单 6-30 所 示 。 


代码 清单 6-30 ”安装 TProv 应 用 

















$ sudo gem install --no-rdoc --no-ri tprov 


Successfully installed tprov-@.0.4 





这 个 命令 会 安装 TProv 应 用 及 相关 的 文 撑 gem。 


然后 可 以 使 用 tprov 命令 来 启动 应 用 ， 如 代码 清单 6-31 所 示 。 
代码 清单 6-31 启动 TProv 应 用 








$ sudo tprov 

[2614-66-21 16:17:24] INFO WEBrick 1.3.1 

[2014-06-21 16:17:24] INFO ruby 1.8.7 (2011-06-30) [x86_64-linux] 

== Sinatra/1.4.5 has taken the stage on 4567 for development with backup 
from WEBrick 


[2014-06-21 16:17:24] INFO WEBrick::HTTPServer_#start_: _pid=14209 
port=4567 _ 





这 个 命令 会 启动 应 用 。 现 在 我 们 可 以 在 Docker 答 主机 上 通过 端口 4567 
浏览 TProv 网 站 ， 如 图 6-4 所 示 。 


、 cf docker.example.com:4567 


Welcome to TProv 


TProv or the Tomcat Provisioner is a Sinatra app that demonstrates how to build a simple PAAS with Docker. it allows you to provision Tomcat applications in Docker containers. 


R was written for The Docker Book 
Add a new Tomcat Application 


Tomcat Application 


Enter name of the Tomcat application. 


Enter the URL of a WAR file you wish to run. 


© James Tumbull 2014 


图 6-4 ”TProv 网 络 应 用 


如 我 们 所 见 ， 我 们 可 以 指定 Tomcat 应 用 的 名 字 和 指向 Tomcat WAR 文 件 
的 URL。 从 https://gwt-examples.googlecode.com/files/Calendar.war 下 载 示 
例 日 历 应 用 程序 ， 并 将 其 称 为 Calendar， 如 图 6-5 所 示 。 


Welcome to TProv 


TProw cr the Tomcat Provisioner is a Sinatra app that demonstrates how to buld a simple PAAS with Docker. It allows you to provision Tomcat applications in Docker containers. 





it was written for The Docker Book 


Add a new Tomcat Application 


Tomcat Application 

Enter name of the Tomcat application. 
Ceierdod 

Enter the URL of a WAR file you wish to run. 
Mips-/igwt-cocamnples. qooglecade..cx 


Submit 


© James Tumbua 2014 





图 6-5 “下载 示例 应 用 程序 


单 击 Submit 按 钮 下 载 WAR 文 件 ， 将 其 放 入 卷 里 ， 运 行 Tomcat 服 务 髓 ， 
加 载 卷 里 的 WAR 文 件 。 可 以 点 击 List instances (展示 实例 ) 链接 
来 查看 实例 的 运行 状态 ， 如 图 6-6 所 示 。 


Tomcat Applications 


Container 1D IPAddress Port Delete? 


so04a4idS4305 172.17.0.10 0.0.0.0.49154 


图 6-6 ”展示 Tomcat 实 例 
这 展示 了 : 
。 容器 的 ID; 


o 容器 的 内 部 卫 地 址 ; 
。 服务 映射 到 的 接口 和 端口 。 


利用 这 些 信 ， 避 我 们 可 以 通过 浏览 隐身 的 半 口 来 得 看 应 用 的 运行 状态 ， 还 
可 以 使 用 Delete? 《是否 删除 ) 单 选 框 来 删除 正在 运行 的 实例 。 


picasa gle ie [3 ， 看 看 程序 是 如 何 实 现 这 些 功 能 的 。 这 
i i 只 是 通 过 shell 执 行 docker 程序 ， 再 捕获 输出 ， 来 运行 


或 者 删除 容器 


可 以 随意 使 用 TProv 代 码 ， 在 之 上 做 扩展 ， 或 者 干脆 重新 写 一 份 自己 的 
代码 9 中。 本 文 的 应 用 主要 用 于 展示 ， 使 用 Docker 构 建 一 个 应 用 程序 前 
熙 管道 是 很 容易 的 事情 。 
ETProv 应 用 确实 太 简 单 了 ， 缺 少 某 些 错误 处 理 和 测试 。 这 个 应 用 的 开发 过 程 很 快 : 只 写 
了 一 个 小 时 ， 用 于 展示 在 构建 应 用 和 服务 时 Docker 是 一 个 多 么 强大 的 工具 。 如 果 你 在 这 个 应 
用 里 找到 了 bug (或 者 想 把 它 写 得 更 好 ) ， 可 以 通过 在 https://github.conyjamtur01/docker book- 
code 提交 issue 或 者 PR 来 告诉 我 。 































































































6.3 多 容器 的 应 用 栈 


在 最 后 一 个 服务 应 用 的 示例 中 我 们 把 一 个 使 用 Express 框 架 的 、 带 有 
Redis 后 端的 Node.js 应 用 完全 Docker 化 了 。 这 里 要 继续 演示 如 何 把 之 前 
两 章 学 到 的 Docker 特 性 结合 起 来 使 用 ， 包 括 链接 和 卷 。 


在 这 个 例子 中 ， 我 们 会 构建 一 系列 的 镜像 来 支持 部 署 多 容器 的 应 用 。 


。 一 个 Node 容 器 ， 用 来 服务 于 Node 应 用 ， 这 个 容器 会 链接 到 。 

。 一 个 Redis 主 容器 ， 用 于 保存 和 集群 化 总 用 状态 这 个 容器 会 链接 
到 。 

。 两 个 Redis 副 本 容器 ， 用 于 集群 化 应 用 状态 。 

。 一 个 日 志 容 器 ， 用 于 捕获 应 用 日 志 。 


我 们 的 Node 应 用 程序 会 运行 在 一 个 容 右 中 ， 它 后 面 会 有 一 个 配置 为 “ 主 - 
副本 ?模式 运行 在 多 个 容 需 中 的 Redsi 集 群 。 














6.3.1 Node.js 镜 像 


先 从 构建 一 个 安装 了 Node.js 的 镜像 开始 ， 这 个 镜像 有 Express 应 用 和 相 
应 的 必要 的 软件 包 ， 如 代码 清单 6-32 所 示 。 


代码 清单 6-32 ”创建 Node.js Dockerfile 

















$ mkdir nodejs 

$ cd nodejs 

$ mkdir -p nodeapp 

$ cd nodeapp 

$ wget https://raw.githubusercontent.com/jamtur@1/dockerbook-code 
/master/code/6/node/nodejs/nodeapp/package. json 


$ wget https://raw.githubusercontent.com/jamtur@1/dockerbook-code 
/master/code/6/node/nodejs/nodeapp/server.js 

$ cd .. 

$ vi Dockerfile 





我 们 已 经 创建 了 一 个 叫 nodejs 的 新 目录 ， 然 后 创建 了 子 目 录 nodeapp 
来 保存 应 用 代码 。 然 后 我 们 进入 这 个 目录 ， 并 下 载 了 Node.js 应 用 的 源 代 


但 。 
可 以 从 本 书 官网 C 或 者 GitHub 仓 库 L 下 载 Node 应 用 的 源 代码 。 


最 后 我 们 回 到 y nodejs 目录 。 现 在 我 们 来 看 看 这 个 Dockerfile 的 内 
容 ， 如 代码 清单 6-33 所 示 。 














代码 清单 6-33 ”Node.js 镜 像 


FROM Ubuntu:14.64 
MAINTAINER James Turnbull <james@example.com> 
REFRESHED_AT 2014-06-01 
apt-get -yqq update 
apt-get -yqq install nodejs npm 
In -s /usr/bin/nodejs /usr/bin/node 
mkdir -p /var/log/nodeapp 


nodeapp /opt/nodeapp/ 
WORKDIR /opt/nodeapp 
RUN npm install 
VOLUME [ "/var/log/nodeapp" | 
EXPOSE 3000 
ENTRYPOINT [ "nodejs", "server.js" ] 





Node.js 镜 像 安 装 了 Node， 然 后 我 们 用 了 一 个 简单 的 技巧 把 二 进 制 文件 
nodejs 链接 到 node ， 解 决 了 Ubuntu 上 原 有 的 一 些 无 法 向 后 兼容 的 问 


jel 





然后 我 们 将 nodeapp 的 源 代码 通过 ADD 指令 添加 到 /opt/nodeapp H 
录 。 这 个 Node.js 应 用 是 一 个 简单 的 Express 服 务 器 ， 包 括 一 个 存放 应 用 
依赖 信息 的 package.json 文件 和 包含 实际 应 用 代码 的 server .js X 
件 ， 我 们 来 看 一 下 该 应 用 的 部 分 代码 ， 如 代码 清单 6-34 所 示 。 


代码 清单 6-34 Node.js 应 用 的 server.js 文件 








var EEC = fs.createWriteStream('/var/log/nodeapp/nodeapp.1log' , 


{flags: 'a'}); 
app. D { 


app.use(express.session({ 
store: new RedisStore({ 


host: process.env.REDIS HOST || 'redis_primary', 
port: process.env.REDIS PORT || 6379, 
db: process.env.REDIS DB || @ 

h) 


cookie: { 


app.get('/', function(req, res) { 
res.json({ 
status: "ok" 
})3 
})3 


var port = process.env.HTTP_PORT || 3000; 
server. listen(port) ; 
console.log('Listening on port ' + port); 





server.js 文件 引入 了 所 有 的 依赖 ， 并 局 动 了 Express 应 用 。Express 应 
用 把 会 话 (session) 信息 保存 到 Redis 里 ， 并 创建 了 一 个 以 JSON 格 式 返 
回 状态 信息 的 节点 。 这 个 应 用 默认 使 用 redis_primary 作为 主机 名 去 
连接 Redis， 如 果 有 必要 ， 可 以 通过 环境 变量 上 覆 盖 这 个 默认 的 主机 名 。 


这 个 应 用 会 把 | H ida BI /var/log/nodeapp/nodeapp. log 文件 里 ， 
并 监听 3666 端口 。 


EEJ 可 以 从 本 书 官网 013] 或 者 GitHub "4! 得 到 这 个 Node 应 用 的 源 代码 。 


接着 我 们 将 工作 目录 设置 为 /opt/nodea pp ， 并 且 安 装 了 Node 应 用 的 必 
要 软件 包 ， 还 创建 了 用 于 存放 Node 应 用 日 志 的 卷 /var/log/nodeapp 


fe) 














最 后 我 们 公开 了 3666 端口 ， 并 使 用 ENTRYPOINT 指定 了 运行 Node 应 用 


的 命令 nodejs server .js 。 


现在 我 们 来 构建 镜像 ， 如 代码 清单 6-35 所 示 。 








代码 清单 6-35 ”构建 Node.js 镜 像 


$ sudo docker build -t jamtur@1/nodejs . 








6.3.2 ”Redis 基 础 镜像 


现在 我 们 继续 构建 第 一 个 Redis 镜 像 : 安装 Redis 的 基础 镜像 〈 如 代码 清 
单 6-36 所 示 ) 。 然 后 我 们 会 使 用 这 个 镜像 构建 Redis 主 镜像 和 副本 镜像 。 


代码 清单 6-36 ”创建 Redis 基 础 镜像 的 Dockerfile 




















$ mkdir redis base 
$ cd redis_base 


$ vi Dockerfile 





现在 我 们 来 看 看 这 个 Dockerfile 的 内 容 ， 如 代码 清单 6-37 所 示 。 


代码 清单 6-37 基础 Redis 镜 像 





FROM Ubuntu:14.64 

MAINTAINER James Turnbull <james@example.com> 

ENV REFRESHED AT 2014-06-01 

RUN apt-get -yqq update 

RUN apt-get install -yqq software-properties-common python-software- 
properties 

RUN add-apt-repository ppa:chris-lea/redis-server 


RUN apt-get -yqq update 

RUN apt-get -yqq install redis-server redis-tools 
VOLUME [ "/var/lib/redis", "/var/log/redis/" ] 
EXPOSE 6379 

CMD[ ] 





这 个 Redis 基 础 镜像 安装 了 最 新 版 本 的 Redis (从 PPA 库 安装 ， 而 不 是 使 
用 Ubuntu 自 带 的 较 老 的 Redis 包 ) ， 指 定 了 两 个 VOLUME 
(/var/lib/redis 和 /var/log/redis ) ， 公 开 了 Redis 的 默认 端口 
6379 。 因 为 不 会 执行 这 个 镜像 ， 所 以 没有 包含 ENTRYPOINT 或 者 CMD 指 
令 。 然 后 我 们 将 只 是 基于 这 个 镜像 构建 别 的 镜像 。 


现在 我 们 来 构建 Redis 基 础 镜像 ， 如 代码 清单 6-38 所 示 。 


代码 清单 6-38 构建 Redis 基 础 镜像 

















$ sudo docker build -t jamtur@1/redis . 


6.3.3 “Redis 主 镜像 


我 们 继续 构建 第 一 个 Redis 镜 像 ， 即 Redis 主 服务 器 ， 如 代码 清单 6-39 所 
ZN o 


代码 清单 6-39 创建 Redis 主 服务 器 的 Dockerfile 





$ mkdir redis_primary 
$ cd redis_primary 


$ vi Dockerfile 





我 们 来 看 看 这 个 Dockerfile 的 内 容 ， 如 代码 清单 6-40 所 示 。 


代码 清单 6-40 ”Redis 主 镜像 























FROM jamtur@1/redis 
MAINTAINER James Turnbull <james@example.com> 
ENV REFRESHED_AT 2014-06-01 


ENTRYPOINT [ "redis-server", "--logfile /var/log/redis/redis-server.log"” | 





Redis 主 镜像 基于 之 前 的 jamture1/ redis 镜像 ， 并 通过 ENTRYPOINT 指 
令 指 定 了 Redis 服 务 启 动 命令 ，Redis 服 务 的 日 志文 件 保存 


2B]/var/log/redis/redis-server.log. 
现在 我 们 来 构建 Redis 主 镜像 ， 如 代码 清单 6-41 所 示 。 


代码 清单 6-41 构建 Redis 主 镜像 


$ sudo docker build -t jamtur@1/redis_ primary . 


6.3.4 Redis 副 本 镜像 














为 了 配合 Redis 主 镜像 ， 我 们 会 创建 Redis 副 本 镜像 ， 保 证 为 Node.js 应 用 
提供 Redis 服 务 的 元 余 度 ， 如 代码 清单 6-42 所 示 。 


代码 清单 6-42 ”创建 Redis 副 本 镜像 的 Dockerfile 

















$ mkdir redis replica 
$ cd redis_replica 


$ touch Dockerfile 





现在 我 们 来 看 看 对 应 的 Dockerfile ， 如 代码 清单 6-43 所 示 。 
代码 清单 6-43 ”Redis 副 本 镜像 











FROM jamtur@1/redis 
MAINTAINER James Turnbull <james@example.com> 
ENV REFRESHED_AT 2014-06-01 


ENTRYPOINT [ "redis-server", "--logfile /var/log/redis/redis-replica.log”, 
"--slaveof redis primary 6379" | 





Redis 副 本 镜像 也 是 基于 jamtur861/redis 构建 的 ， 并 且 通 过 
ENTRYPOINT 指令 指定 了 运行 Redis 服 务 器 的 命令 ， 设 置 了 日 志文 件 和 
slaveof 选项 。 这 就 把 Redis 配 置 为 主 -副本 模式 ， 从 这 个 镜像 构建 的 任 
何 容 器 都 会 将 redis_primary 主机 的 Redis 作 为 主 服务 ， 连 接 其 6379 端 
口 ， 成 为 其 对 应 的 副本 服务 器 。 


现在 我 们 来 构建 Redis 副 本 镜像 ， 如 代码 清单 6-44 所 示 。 


代码 清单 6-44 ”构建 Redis 副 本 镜像 


$ sudo docker build -t jamtur@1/redis replica . 


6.3.5 ”创建 Redis 后 端 集群 


现在 我 们 已 经 有 了 Redis 主 镜像 和 副本 镜像 ， 已 经 可 以 构建 我 们 自己 的 
Redis 复 制 环境 了 。 首 先 我 们 创建 一 个 用 来 运行 我 们 的 Express 应 用 程序 























的 网 络 ， 我 们 称 其 为 express ， 如 代码 清单 6-45 所 示 。 


代码 清单 6-45 ”创建 express 网 络 























$ sudo docker network create express 
dfe9fe7ee5c9bfa635b7cf16266f29a761634442963ed9732dfdba2b569686c2 





现在 让 我 们 在 这 个 网 络 中 运行 Redis 主 容器 ， 如 代码 清单 6-46 所 示 。 


代码 清单 6-46 ”运行 Redis 主 容器 




















$ sudo docker run -d -h redis_primary \ 
--net express --name redis primary jamtur@1/redis_ primary 


d21659697baf56346cc5bbe8d4631f670364FFddFf4863ec32ab0576e85a73d27 





这 里 使 用 docker run 命令 从 jamture1/redis primary 镜像 创建 了 一 
个 容器 。 这 里 使 用 了 一 个 以 前 没有 见 过 的 新 标志 -h ， 这 个 标志 用 来 设 
置 容 器 的 主机 名 。 这 会 履 盖 默认 的 行为 《默认 将 容器 的 主机 名 设置 为 容 
器 ID) 并 人 允许 我 们 指定 自己 的 主机 名 。 使 用 这 个 标志 可 以 确保 容器 使 
用 redis_primary 作为 主机 名 ， 并 被 本 地 的 DNS 服务 正确 解析 。 


我 们 已 经 指定 了 -- name 标志 ， 确 保 容 器 的 名 字 是 redis_primary , 
我 们 还 指定 了 -- net 标志 ， 确 保 该 容器 `` 在 express 网 络 中 运行 。 
稍 后 我 们 会 看 到 ， 我 们 将 使 用 这 个 网 络 来 保证 容器 连通 性 。 


让 我 们 使 用 docker logs 命令 来 查看 Redis 主 容器 的 运行 状况 ， 如 代码 
清单 6-47 所 示 。 




















代码 清单 6-47 Redis 主 容器 的 日 志 


$ sudo docker logs redis primary 


什么 日 志 都 没有 ? 这 是 怎么 回 事 ?原来 Redis 服 务 会 将 日 志 记录 到 一 个 
文件 而 不 是 记录 到 标准 输出 ， 所 以 使 用 Docker 但 看 不 到 任何 日 志 。 那 怎 

















么 能 知道 Redis 服 务 器 的 运行 情况 呢 ? 为 了 做 到 这 一 点 ， 可 以 使 用 之 前 
创建 的 /var/1log/redis 卷 。 现 在 我 们 来 看 看 这 个 卷 ， 读 取 一 些 日 志文 
件 的 内 容 ， 如 代码 清单 6-48 所 示 。 














代码 清单 6-48 ” 读 取 Redis 主 日 志 








$ sudo docker run -ti --rm --volumes-from redis primary \ 
ubuntu cat /var/log/redis/redis-server.log 


[1] 25 Jun 21:45:03.074 # Server started, Redis version 2.8.12 
[1] 25 Jun 21:45:03.074 # WARNING overcommit_memory is set to @! 
Background save may fail under low memory condition. To fix 


this issue add 'vm.overcommit_memory = 1' to /etc/sysctl.conf 

and then reboot or run the command ‘sysctl vm.overcommit_memory 

=1' for this to take effect. 

[1] 25 Jun 21:45:03.074 * The server is now ready to accept 
connections on port 6379 





这 里 以 交互 方式 运行 了 另 一 个 容器 。 这 个 命令 指定 了 - -rm 标志 ， 它 会 
在 进程 运行 完 后 自动 删除 容器 。 我 们 还 指定 了 - -volumes-from 标志 ， 
告诉 它 从 redis_primary 容器 挂 载 了 所 有 的 着。 然后 我 们 指定 了 一 个 
ubuntu 基础 镜像 ， 并 告诉 它 执行 cat var/log/`` ``redis/redis- 
server.1og 来 展示 日 志文 件 。 这 种 方法 利用 了 卷 的 优点 ， 可 以 直接 从 
redis primary 容器 挂 载 /var/log/redis 目录 并 读 取 里 面 的 日 志文 
件 。 一 会 儿 我 们 将 会 看 到 更 多 使 用 这 个 命令 的 情况 。 


查看 Redis 日 志 ， 可 以 看 到 一 些 常 规 警告 Ti» 不 过 一 切 看 上 去 都 没什么 问 
题 。Redis 服 务 器 已 经 准备 好 从 6379 端口 接收 数据 了 。 


那么 下 一 步 ， 我 们 创建 一 个 Redis 副 本 容器 ， 如 代码 清单 6-49 所 示 。 


代码 清单 6-49 ”运行 第 一 个 Redis 副 本 容器 























$ sudo docker run -d -h redis replical \ 
--name redis replical \ 
--net express \ 


jamtur@1/redis_ replica 
Q@ae440b5c56F48F3190332b4151c40F775615016bF781Fc817F631db5af34ef8 





这 里 我 们 运行 了 另 一 个 容器 : 这 个 容器 来 自 jamtur6l/redis_replica 
镜像 。 和 之 前 一 样 ， 命 令 里 指定 了 主机 名 (通过 -h 标志 ) 和 容器 名 
(通过 - -name 标志 ) 都 是 redis ~~ ~-replical 。 我 们 还 使 用 了 -- 
net 标志 在 express 网 络 中 运行 Redis 副 本 容器 。 








在 Docker 1.9 之 前 的 版 本 中 ， 不 能 使 用 Docker Networking， 只 能 使 用 Docker 链 接 来 连接 
Redis 主 容器 和 副本 容器 。 


现在 我 们 来 检查 一 下 这 个 新 容器 的 日 志 ， 如 代码 清单 6-50 所 示 。 


代码 清单 6-50” 读 取 Redis 副 本 容器 的 日 志 

















$ sudo docker run -ti --rm --volumes-from redis_replical \ 
ubuntu cat /var/log/redis/redis-replica.log 


[1] 25 Jun 22:10:04.240 # Server started, Redis version 2.8.12 

[1] 25 Jun 22:10:04.240 # WARNING overcommit_memory is set to @! 

Background save may fail under low memory condition. To fix 

this issue add 'vm.overcommit_memory = 1' to /etc/sysctl.conf 

and then reboot or run the command ‘sysctl vm.overcommit_memory 

=1' for this to take effect. 

[1] 25 Jun 22:10:04.240 * The server is now ready to accept 

connections on port 6379 

[1] 25 Jun 22:10:04.242 * Connecting to MASTER redis_primary:6379 

[1] 25 Jun 22:10:04.244 MASTER <-> SLAVE sync started 

[1] 25 Jun 22:10:04.244 * Non blocking connect for SYNC fired the event. 

[1] 25 Jun 22:10:04.244 * Master replied to PING, replication can 
continue... 

[1] 25 Jun 22:10:04.245 Partial resynchronization not possible 
(no cached master) 

[1] 25 Jun 22:10:04.246 * Full resync from master: 24 
a790df6bf4786a0e886be4b34868743F6145cc:1485 

[1] 25 Jun 22:10:04.274 * MASTER <-> SLAVE sync: receiving 18 bytes from 
master 

[1] 25 Jun 22:10:04.274 * MASTER <-> SLAVE sync: Flushing old data 

[1] 25 Jun 22:10:04.274 * MASTER <-> SLAVE sync: Loading DB in memory 

[1] 25 Jun 22:10:04.275 * MASTER <-> SLAVE sync: Finished with success 








这 里 通过 交互 的 方式 运行 了 一 个 新 容器 来 查询 日 志 。 和 之 前 一 样 ， 我 们 
又 使 用 了 --rm 标志 ， 它 在 命令 执行 完毕 后 自动 删除 容器 。 a 
了 --volumes-from 标志 ， 挂 载 了 redis_replLlical 容器 的 所 有 卷 。 然 
后 我 们 指定 了 ubuntu 基础 镜像 ， 并 让 它 cat 日 志文 件 /var/1og/ 


redis/redis-replica.log. 


到 这 里 我 们 已 经 成 功 启动 了 redis_primary 和 redis_replical 容 
器 ， 并 让 这 两 个 容器 进行 主 从 复制 。 


现在 我 们 来 加 入 另 一 个 副本 容器 redis_replica2 ， 确 保 万 无 一 失 ， 如 


代码 清单 6-51 所 示 。 





代码 清单 6-51 运行 第 二 个 Redis 副 本 容 














$ sudo docker run -d -h redis_replica2 \ 
--name redis replica2 \ 
--net express \ 


jamtur@1/redis_ replica 
72267cd74c412c7b168d87bba70F3aaa3b96d17d6e9682663095a492bc 260357 


我 们 来 看 看 新 容器 的 日 志 ， 如 代码 清单 6-52 所 示 。 


代码 清单 6-52 第 二 个 Redis 副 本 容器 的 日 














$ sudo docker run -ti --rm --volumes-from redis replica2 ubuntu \ 
cat /var/log/redis/redis-replica.log 


[1] 25 Jun 22:11:39.417 # Server started, Redis version 2.8.12 

[1] 25 Jun 22:11:39.417 # WARNING overcommit_memory is set to @! 
Background save may fail under low memory condition. To fix 

this issue add 'vm.overcommit_memory = 1' to /etc/sysctl.conf 

and then reboot or run the command ‘sysctl vm.overcommit_memory 

=1' for this to take effect. 

417 * The server is now ready to accept connections 


[1] 25 Jun 22:11:39. 

on port 6379 
22: 
22: 
22: 
22: 


[1] 25 Jun 
[1] 25 Jun 
[1] 25 Jun 
[1] 25 Jun 


continue. 


[1] 25 Jun 


22: 
(no cached master) 


11: 
11: 
11: 
11: 


11: 


39 
39 
39 
39 


39 


.417 
.422 
.422 
.422 


.423 


* 
* 
* 
* 


Connecting to MASTER redis_primary:6379 
MASTER <-> SLAVE sync started 

Non blocking connect for SYNC fired the event. 
Master replied to PING, replication can 


Partial resynchronization not possible 


[1] 25 Jun 22:11:39.424 * Full resync from master: 24 
a790df6bf4786a0e886be4b34868743f6145cc:1625 
[1] 25 Jun 22:11:39.476 * MASTER <-> SLAVE sync: receiving 18 bytes from 


master 


[1] 25 Jun 22:11:39.476 * MASTER <-> SLAVE sync: Flushing old data 
[1] 25 Jun 22:11:39.476 * MASTER <-> SLAVE sync: Loading DB in memory 





现在 可 以 确保 Redis 服 务 万 无 一 失 了 ! 
6.3.6 ”创建 Node 容 器 


现在 我 们 已 经 让 Redis 集 群 运行 了 ， 我 们 可 以 为 局 动 Node.js 应 用 局 动 一 
个 容 占 ， 如 代码 清单 6-53 所 示 。 








代码 清单 6-53 ”运行 Node.js 容 器 


at 
Im. 





$ sudo docker run -d \ 
--name nodeapp -p 3000:3000 \ 
--net express \ 


jamtur@1/nodejs 
9a9dd33957c136e98295de7405386ed2c452e8ad263a6ec1a2a08b24F8OFd175 








在 Docker 1.9 之 前 的 版 本 中 ， 不 能 使 用 Docker Networking， 只 能 使 用 Docker 链 接 来 连接 
Node 和 Redis 容 器 。 


我 们 从 jamture81/nodejs 镜像 创建 了 一 个 新 容器 ， 命 名 为 nodeapp ， 
并 将 容器 内 的 3000 端口 映射 到 宿主 机 的 3666 端口 。 同 样 我 们 的 新 


nodeapp 容器 也 是 运行 在 express 网 络 中 。 


可 以 使 用 docker logs 命令 来 看 看 nodeapp 容器 在 做 什么 ， 如 代码 清 
单 6-54 所 示 。 








Ct 








代码 清单 6-54 nodeapp 容器 的 控制 台 日 ; 





$ sudo docker logs nodeapp 
Listening on port 3000 





从 这 个 日 志 可 以 看 到 Node 应 用 程序 监听 了 3666 sig A - 


~ O a a 看 看 应 用 工作 的 样子 ， 如 
6-7FTAN o 


& Œ (5 docker.example.com:3000 





"status": "ok" 


} 


图 6-7 ”Node 应 用 程序 
可 以 看 到 Node 应 用 只 是 简单 地 返回 了 OK 状态 ， 如 代码 清单 6-55 所 示 。 
代码 清单 6-55 ”Node 应 用 的 输出 























"status": "ok" 


} 








这 个 输出 表明 应 用 正在 工作 。 浏 览 器 的 会 话 状 态 会 先 被 记录 到 Redis 主 
容器 redis_primary ， 然 后 复制 到 两 个 Redis 副 本 容 
anredis replical 和 redis replica2。 


6.3.7 ”捕获 应 用 日 志 


现在 应 用 已 经 可 以 运行 了 ， 需 要 把 这 个 应 用 放 到 生产 环境 中 。 在 生产 环 
境 里 需要 确保 可 以 捕获 日 志 并 将 日 志保 存 到 日 志 服 务 器 。 我 们 将 使 用 
Logstash H°! 来 完成 这 件 事 。 我 们 先 来 创建 一 个 Logstash 镜 像 ， 如 代码 清 
单 6-56 所 示 。 











代码 清单 6-56 ”创建 Logstash 的 Dockerfile 


$ mkdir logstash 
$ cd logstash 
$ touch Dockerfile 





现在 我 们 来 看 看 这 个 Dockerfile 的 内 容 ， 如 代码 清单 6-57 所 示 。 


RES 


tT 























6-57 ”Logstash 镜 像 





FROM ubuntu:14.04 


MAINTAINER James Turnbull <james@example.com> 

ENV REFRESHED_AT 2014-06-01 

RUN apt-get -yqq update 

RUN apt-get -yqq install wget 

RUN wget -O - http://packages.elasticsearch.org/GPG-KEY-elasticsearch | 
apt-key add - 

RUN echo ‘deb <a>http://packages.elasticsearch.org/logstash/1.4/debian</a> 


stable main’ > /etc/apt/sources.list.d/logstash.list 
RUN apt-get -yqq update 
RUN apt-get -yqq install logstash 
ADD logstash.conf /etc/ 
WORKDIR /opt/logstash 
ENTRYPOINT [ "bin/logstash" ] 
CMD [ "--config=/etc/logstash.conf" ] 





我 们 已 经 创建 了 镜像 并 安装 了 Logstash， 然 后 将 logstash.conf 文件 使 
HADD 指令 添加 到 /etcy/ 目录 。 现 在 我 们 来 看 看 logstash.conf 文件 
的 内 容 ， 如 代码 清单 6-58 所 示 。 





代码 清单 6-58 Logstash 配 置 文件 








input { 
file { 
type => "syslog" 
path => ["/var/log/nodeapp/nodeapp.log", "/var/log/redis/ 
redis-server.log" ] 
} 


} 


output { 
stdout { 
codec => rubydebug 


} 


} 





这 个 Logstash 配 置 很 简单 ， 它 监控 两 个 文件 ， 

EB] /var/log/nodeapp/nodeapp. log 和 /var/log/redis/redis- 
server.log 。Logstash 会 一 直 监 视 这 两 个 文件 ， 将 其 中 新 的 内 容 发 送 
给 Logstash。 配 置 文件 的 第 二 部 分 是 output 部 分 ， 接 受 所 有 Logstash 输 
入 的 内 容 并 将 其 输出 到 标准 输出 上 。 现 实 中 ， 一 般 会 将 Logstash 配 置 为 
输出 到 Elasticsearch 集 群 或 者 其 他 的 目的 地 ， 不 过 这 里 只 使 用 标准 输出 
做 演示 ， 所 以 忽略 了 现实 的 细节 。 


EES 如果 不 大 了 解 Logstash， 想 要 深入 学 习 可 以 参考 作者 的 书 US 或 者 Logstash 文 档 [7] 。 
我 们 指定 了 工作 目录 为 /opt/logstash 。 最 后 ， 我 们 指定 了 
`~ENTRYPOINT 为 bin/``“`logstash， 并 且 指 定 了 CMD 为 -- 
config=/etc/logstash.conf 。 这 样 容 右 启动 时 会 局 动 Logstash 并 加 
载 /etc/logstash.conf 配置 文件 。 
现在 我 们 来 构建 Logstash 镜 像 ， 如 代码 清单 6-59 所 示 。 


代码 清单 6-59 构建 Logstash 镜 像 


$ sudo docker build -t jamtur@1/logstash . 


构建 好 镜像 后 ， 可 以 从 这 个 镜像 月 动 一 个 容器 ， 如 代码 清单 6-60 所 示 。 


代码 清单 6-60 ”启动 Logstash 容 器 





























$ sudo docker run -d --name logstash \ 
--volumes-from redis primary \ 
--volumes-from nodeapp \ 


jamtur@1/logstash 





我 们 成 功 地 启动 了 一 个 名 为 logstash 的 新 容器 ， 并 指定 了 两 次 -- 
volumes-from 标志 ， 分 别 挂 载 了 redis_primary 和 nodeapp 容 器 的 
卷 ， 这 样 束 可 以 访问 Redis 和 Node 的 日 志文 件 了 。 任 何 加 到 这 些 日 志文 
件 里 的 内 容 都 会 反映 在 logstash 容 右 的 卷 里 ， 并 传 给 Logstash 做 后 续 
处 理 。 





现在 我 们 使 用 -f 标志 来 查看 logstash 容器 的 日 志 ， 如 代码 清单 6-61 所 
FR 














代码 清单 6-61 logstash 容器 的 日 志 





$ sudo docker logs -f logstash 

{: timestamp=>"2014-06-26T00:41:53.273000+0000", :message=>"Using 
milestone 2 input plugin 'file'. This plugin should be stable, 
but if you see strange behavior, please let us know! For more 


information on plugin milestones, see http://logstash.net/docs 
/1.4.2-modified/plugin-milestones", :level=>:warn} 





现在 再 在 浏览 器 里 刷新 Web 应 用 ， 产 生 一 个 新 的 日 志 事 件 。 这 样 应 该 能 
在 logstash 容器 的 输出 中 看 到 这 个 事件 ， 如 代码 清单 6-62 所 示 。 


代码 清单 6-62 Logstash 中 的 Node 事 件 








"message" => "63.239.94.10 - - [Thu, 26 Jun 2014 01:28:42 
GMT] \"GET /hello/frank HTTP/1.1\" 200 22 \"-\" \" 
Mozilla/5.@ (Macintosh; Intel Mac OS X 16 9 4) 
AppleWebKit/537.36 (KHTML, like aac Chrome 
/35.0.1916.153 Safari/537.36\"' 

"@version" => "1" 
> "2914-@6-26T01:28:42.5932", 
"syslog", 


"@timestamp" 


"type" => 
"host" => "cfa96519ba54", 
=> 


"path" "/var/log/nodeapp/nodeapp. log" 





现在 Node 和 Redis 容 器 都 将 日 志 输 出 到 了 Logstash。 在 生产 环境 中 ， 
事件 会 及 到 Logstash 服 务 嚣 并 存储 在 Elasticsearch 里 。 如 果 要 加 入 新 n 
Redis 副 本 容器 或 者 其 他 组 件 ， 也 可 以 很 容易 地 将 其 日 志 输 出 到 日 志 容 
am Eo 


GS 如果 需要 ， 也 可 以 通过 卷 对 Redis 做 备份 。 














6.3.8 Node 程序 栈 的 小 结 





现在 我 们 已 经 演示 过 了 如 何 使 用 多 个 容器 组 成 应 用 程序 栈 ， 演 示 了 如 何 
使 用 Docker 链 接 来 将 应 用 容器 连 在 一 起 ， 还 演示 了 如 何 使 用 Docker 卷 来 
这 些 技术 可 以 很 容易 地 用 来 构建 更 加 复杂 的 应 用 
星 序 和 架构 。 





6.4 AH SSH Docker 2s 


Ea, fTEZ ARA FEH Dockeri 7 IRA HY ie AT, 了 解 一 些 管 理 
Docker 容 妖 的 方法 以 及 这 些 方法 与 传统 管理 方法 的 区 别 是 很 重要 的 。 


传统 上 讲 ， 通过 SSH 谷 入 运行 环境 或 者 虚拟 机 里 来 疙 $$ 理 服 务 。 在 Docker 
的 世界 里 ， 大 部 分 容器 都 只 运行 一 个 进程 ， 所 以 不 能 使 用 这 种 访问 方 
法 。 不 过 就 像 之 前 多 次 看 到 的 ， 其 实 不 需要 这 种 访问 : 可 以 使 用 卷 或 者 
链接 完成 大 部 分 同样 的 管理 操作 。 比 如 说 ， 如 果 服 务 通过 某 个 网 络 接口 
做 管理 ， 就 可 以 在 启动 容器 时 公开 这 个 接口 ， 如 果 服 务 通 过 Unix 套 接 字 
(socket) 来 管理 ， 就 可 以 通过 卷 公开 这 个 套 接 字 。 如 果 需 要 给 容器 发 
送信 和 号， 束 可 以 像 代码 清单 6-63 所 示 那 样 使 用 docker Kil1 命 令 发 送信 
Fo 





代码 清单 6-63 ”使 用 docker kill 发 送信 号 


$ sudo docker kill -s <signal> <container> 


这 个 操作 会 发 送 指定 的 信号 〈 如 HUP 信和 号) 给 容器 ， 而 不 是 杀 掉 容器 。 


然而 ， 有 时 候 确 实 需要 登入 容器 。 a 也 不 需要 在 容器 里 执行 
SSH 服 务 或 者 打开 任何 不 必要 的 访问 。 需 要 登入 容器 时 ， 可 以 使 用 一 个 
叫 nsenter 的 小 工具 。 


nsenter 一 般 适 用 于 Docker 1.2 或 者 更 早 的 版 本 。docker exec 命令 是 在 Docker 1.3 中 
引入 的 ， 蔡 换 了 它 的 大 部 分 功能 。 


工具 nsenter 让 我 们 可 以 进入 Docker 用 来 构成 容器 的 内 核 命名 空间 。 从 
o 这 个 工具 可 以 进入 一 个 已 经 存在 的 命 8 名 空间 ， 或 者 在 新 的 一 
命名 空间 里 执行 一 个 进程 。 简 单 来 说 ， 使 用 nsenter 可 以 进入 一 个 已 
| 的 容器 的 shel]， 即便 这 个 容器 没有 运行 SSH 或 者 任何 类 似 目 的 的 
守护 进程 。 可 以 通过 Docker 容 右 安 装 nsenter ， 如 代码 清单 6-64 所 示 。 











代码 清单 6-64 ”安装 nsenter 


$ sudo docker run -v /usr/local/bin:/target jpetazzo/nsenter 





pO 


这 会 把 nsenter ZA Fl /usr/local/bin 目录 下 ， 然 后 立刻 就 可 以 使 用 


这 个 命令 。 








要强 上 nsenter 也 可 能 由 所 使 用 的 Linux 发 行 版 (在 util-1linux 包 里 ) 提供 。 


为 了 使 用 nsenter ， 首 先 要 拿 到 要 进入 的 容器 的 进程 ID (PID) 。 可 以 
使 用 docker inspect 命令 获得 PID， 如 代码 清单 6-65 所 示 。 


代码 清单 6-65 “获取 容器 的 进程 ID 


PID=$(sudo docker inspect --format '{{.State.Pid}}' <container>) 


然后 就 可 以 进入 容器 ， 如 代码 清单 6-66 所 示 。 


代码 清单 6-66 ”使 用 nsenter 进入 容器 




































































$ sudo nsenter --target $PID --mount --uts --ipc --net --pid 





这 会 在 容器 里 启动 一 个 shell， 而 不 需要 SSH 或 者 其 他 类 似 的 守护 进程 或 
者 进程 。 


我 们 还 可 以 将 想 在 容器 内 执行 的 命令 添加 在 nsenter 命令 行 的 后 面 ， 如 
代码 清单 6-67 所 示 。 














代码 清 





6-67 ”使 用 nsenter 在 容器 内 执行 命令 








$ sudo nsenter --target $PID --mount --uts --ipc --net --pid 1s 
bin boot dev etc home lib 1ib64 media mnt opt proc... 





这 会 在 目标 容器 内 执行 ]s 命令 。 


6.5 ”小 结 


在 本 章 中 我 们 演示 了 如 何 使 用 Docker 容 器 构建 一 些 生 产 用 的 服务 程序 ， 
还 进一步 演示 了 如 何 构 建 多 容 占 服务 并 管理 应 用 栈 。 本 章 的 例子 将 
Docker 链 接 和 卷 融 合 在 一 起 ， 并 使 用 这 些 特性 提供 一 些 扩展 的 功能 ， 比 
如 记录 日 志和 备份 。 


在 下 一 章 中 我 们 会 演示 如 何 使 用 Docker Compose. Docker Swarm 和 
Consul 工 具 来 对 Docker 进 行 编 配 。 





[1] — http://jekyllrb.com/ 
[2]  http://getbootstrap.com 
[3]  http://docs.docker.com/engine/extend/plugins_volume/ 


[4] 


https://docs.docker.com/engine/reference/commandline/volume_create/ 
[5] http://aws.amazon.com/s3/ 

[6]  http://www.amanda.org 

[7] http://dockerbook.com/code/6/tomcat/tprov/ 


[8]  https://github.com/jamtur01/dockerbook- 
code/tree/master/code/6/tomcat/tprov 


[9] https://github.com/jamtur01/dockerbook- 
code/blob/master/code/6/tomcat/tprov/lib/tprov/app.rb 


ae 完全 是 你 上 自己 写 的 代码 一 一 我 很 喜欢 目 己 写 代 码 ， 而 不 是 直接 用 
别人 的 。 


[11] — http://dockerbook.com/code/6/node/ 











[12] https://github.com/jamtur01/dockerbook- 
code/tree/master/code/6/node/ 


[13] — http://dockerbook.com/code/6/node/ 


[14]  https://github.com/jamtur01/dockerbook- 
code/tree/master/code/6/node/ 


[15] http://logstash.net/ 
[16]  http://www.logstashbook.com 


[17]  http://logstash.net 


第 7 章 ”Docker 编 配 和 服务 发 


现 





Ac Corchestration) 是 一 个 没有 严格 定义 的 概念 。 这 个 概念 大 概 描述 

了 目 动 配置 、 协 作 和 管理 服务 的 过 程 。 在 Docker 的 世界 里 ， 编 配 用 来 摘 
述 一 组 实践 过 程 ， 这 个 过 程 会 管理 运行 在 多 个 Docker 容 器 里 的 应 用 ， 而 
这 些 Docker 容 器 有 可 能 运行 在 多 个 答 主 机 上 。Docker 对 编 配 的 原生 支持 
非常 弱 ， 不 过 整个 社区 围绕 编 配 开发 和 集成 了 很 多 很 棒 的 工具 。 


在 现在 的 生态 环境 里 ， 已 经 围绕 Docker 构 建 和 集成 了 很 多 的 工具 。 一 些 
工具 只 是 简单 地 将 多 个 容器 快捷 地 “ 连 ” 在 一 起 ， 使 用 简单 的 组 合 来 构建 
应 用 程序 栈 。 另 外 一 些 工 具 提 供 了 在 更 大 规模 多 个 Docker 宿 主机 上 进行 
协作 的 能 力 ， 以 及 复杂 的 调度 和 执行 能 


刚才 提 到 的 这 些 领域 ， 每 个 领域 都 值得 写 一 本 书 。 不 过 本 书 只 介绍 这 些 
领域 里 几 个 有 用 的 工具 ， 这 些 工具 可 以 让 读者 了 解 应 该 如 何 实际 对 容器 
进行 编 配 。 和 希望 这 些 工 具 可 以 帮 读 者 构建 自己 的 Docker 环 境 。 


本 章 将 关注 以 下 3 个 领域 。 


简单 的 容器 编 配 。 这 部 分 内 容 会 介绍 Docker Compose. Docker 
Compose (之 前 的 Fig) 是 由 Orchard 团 队 开发 的 开源 Docker 编 配 工 
具 ， 后 来 2014 年 被 Docker 公 司 收购 。 这 个 工具 用 Python 编写 ， 遵 守 
Apache 2.0 许 可 。 

分 布 式 服务 发 现 。 这 部 分 内 容 会 介绍 Consul。Consul 使 用 Go 语言 开 
发 ， 以 MPL 2.0 许 可 授权 开源 。 这 个 工具 提供 了 分 布 式 且 高 可 用 的 
服务 发 现 功 能 。 本 书 会 展示 如 何 使 用 Consul 和 Docker 来 管理 应 用 ， 
发 现 相关 服务 。 

Docker 的 编 配 和 集群 。 在 这 里 我 们 将 会 介绍 5Swarm。Swarm 是 一 个 
开源 的 、 基 于 Apache 2.0 许 可 证 发 布 的 软件 。 它 用 Go 语言 编写 ， 由 
Docker 公 司 团队 开发 。 





























所 示 


和 本 章 的 后 面 我 还 会 谈论 可 用 的 许多 























他 的 编 配 工具 。 


7.1 Docker Compose 


现在 先 来 熟悉 一 下 Docker Compose。 使 用 Docker Compose， 可 以 用 一 个 
YAML 文 件 定 义 一 组 要 启动 的 容器 ， 以 及 容器 运行 时 的 属性 。Docker 
Compose 称 这 些 容 占 为 “服务 ”?"， 像 这 样 定义 : 

容器 通过 某 些 方 法 并 指定 一 些 运行 时 的 属性 来 和 其 他 容器 产生 交 瑟 。 

下 面 会 介绍 如 何 安装 Docker Compose， 以 及 如 何 使 用 Docker Compose 构 
建 一 个 简单 的 多 容器 应 用 程序 栈 。 

7.1.1 安装 Docker Compose 


现在 开始 安装 Docker Compose. Docker Compose 目 前 可 以 在 Linux、 
Windows 和 OS X 上 使 用 。 可 以 通过 直接 安装 可 执行 包 来 安装 ， 或 者 通过 
Docker Toolbox 安 装 ， 也 可 以 通过 Python Pip 包 来 安装 。 





为 了 在 Linux 上 安装 Docker Compose， 可 以 从 GitHub 下 载 Docker 
Compose 的 可 执行 包 ， 并 让 其 可 执行 。 和 Docker 一 样 ，Docker Compose 
目前 只 能 安装 在 64 位 Linux 上 。 可 以 使 用 curl 命令 来 完成 安装 ， 如 代码 
清单 7-1 所 示 。 





代码 清单 7-1 在 Linux 上 安装 Docker Compose 





$ sudo bash -c "curl -L https://github.com/docker/compose/ 
releases/download/1.5.0/docker-compose-- uname -S - uname -m > 
/usr/local/bin/docker-compose" 


$ sudo chmod +x /usr/local/bin/docker-compose 








这 个 命令 会 从 GitHub 下 载 docker-compose 可 执行 程序 并 安装 
到 /usr/local/bin 目录 中 。 之 后 使 用 chmod 命令 确保 可 执行 程序 
docker-compose 可 以 执行 。 





如 果 是 在 OS XE, Docker Toolbox 已 经 包含 了 Docker Compose， 或 者 可 
以 像 代 码 清单 7-2 所 示 这 样 进 行 安装 。 











代码 清单 7-2 EOS X 上 安装 Docker Compose 


$ sudo bash -c "curl -L https://github.com/docker/compose/ 
releases/download/1.5.0/docker-compose-Darwin-x86_64 > /usr/ 
local/bin/docker -compose" 


$ sudo chmod +x /usr/local/bin/docker-compose 





如 果 是 在 Windows 平 台 上 ， 也 可 以 用 Docker Toolbox， 里 面包 含 了 
Docker Compose. 


如 果 是 在 其 他 平台 上 或 者 偏好 使 用 包 来 安装 ，Compose 也 可 以 作为 
Python 包 来 安装 。 这 需要 预先 安装 Python-Pip 工 具 ， 保 证 存在 pip 命 
令 。 这 个 命令 在 大 部 分 Red Hat、Debian 或 者 Ubuntu 发 行 版 里 ， 都 可 以 通 
过 python-pip 包 安 装 ， 如 代码 清单 7-3 所 示 。 


代码 清单 7-3 ”通过 Pip 安 装 Docker Compose 


$ sudo pip install -U docker-compose 


安装 好 docker-compose 可 执行 程序 后 ， 就 可 以 通过 使 用 - -version 标 
志 调 用 docker-compose 命令 来 测试 其 可 以 正常 工作 ， 如 代码 清单 7-4 
所 示 。 








代码 清单 7-4 测试 Docker Compose 是 否 工 作 





$ docker-compose --version 
docker-compose 1.5.0 

















本 要 于 如 果 从 1.3.0 之 前 的 版 本 升级 而 来 ， 那 么 需要 将 容器 格式 也 升级 到 1.3.0 版 本 ， 这 可 以 通过 


docker-compose migrate-to-labels 命令 来 实现 。 
7.1.2 ”获取 示例 应 用 


为 了 演示 Compose 是 如 何 工 作 的 ， 这 里 使 用 一 个 Python Flask 应 用 作为 例 
子 ， 这 个 例子 使 用 了 以 下 两 个 容器 。 








。 应 用 容器 ， 运 行 Python 示 例 程序 。 
© Redis 容 器 ， 运 行 Redis 数 据 库 。 


现在 开始 构建 示例 应 用 。 首 先 ， 创 建 一 个 目录 并 创建 Dockerfile ， 如 
代码 清单 7-5 所 示 。 








代码 清单 7-5 ”创建 composeapp 目录 


$ mkdir composeapp 
$ cd composeapp 
$ touch Dockerfile 








这 里 创建 了 一 个 叫 作 composeapp 的 目录 来 保存 示例 应 用 。 之 后 进入 这 
个 目录 ， 创 建 了 一 个 空 Dockerfile ， 用 于 保存 构建 Docker 镜 像 的 指 


令 。 


之 后 ， 需 要 添加 应 用 程序 的 源 代码 。 创 建 一 个 名 叫 app.py 的 文件 ， 并 
写 入 代码 清单 7-6 所 示 的 Python 代 码 。 





代码 清单 7-6 app.py 文 件 





from flask import Flask 

from redis import Redis 

import os 

app = Flask( name ) 

redis = Redis(host="redis 1", port=6379) 
@app.route('/') 

def hello(): 


redis.incr('hits') 
return 'Hello Docker Book reader! I have been seen {0} times' 
.format(redis.get('hits')) 
if name == " main _": 
app.run(host="0.0.0.0", debug=True) 





读者 可 以 在 GitHub [1] 或 者 本 书 官 网 [2] 找到 源 代 码 。 

















这 个 简单 的 Flask 应 用 程序 追踪 保存 在 Redis 里 的 计数 器 。 每 次 访问 根 路 
径 / 时 ， 计 数 器 会 自 增 。 





现在 还 需要 创建 requirements .txt 文件 来 保存 应 用 程序 的 依赖 关系 。 
创建 这 个 文件 ， 并 加 入 代码 清单 7-7 列 出 的 依赖 。 


代码 清单 7-7 requirements .txt 文件 








flask 
redis 


现在 来 看 看 Dockerfile ， 如 代码 清单 7-8 所 示 。 


代码 清单 7-8 ”composeapp 的 Dockerfile 








# Compose 示 例 应 用 的 镜像 

FROM python:2.7 

MAINTAINER James Turnbull <james@example.com> 
ADD . /composeapp 


WORKDIR /composeapp 
RUN pip install -r requirements.txt 








这 个 Dockerfile 很 简单 。 它 基于 python:2.7 镜像 构建 。 首 先 添 加 文 
件 app.py 和 requirements .txt 到 镜像 中 的 /composeapp 目录 。 之 
后 Dockerfile 将 工作 目录 设置 为 /composeapp ， 并 执行 pip 命令 来 安 
装 应 用 的 依赖 : Flask 和 redis 。 


使 用 docker build 来 构建 镜像 ， 如 代码 清单 7-9 所 示 。 


代码 清单 7-9 构建 composeapp 应 用 











$ sudo docker build -tjamtur@1/composeapp . 
Sending build context to Docker daemon 16.9 kB 
Sending build context to Docker daemon 
Step @ : FROM python:2.7 

---> 1c8df2f6c16b 


Step 1 : MAINTAINER James Turnbull <james@example.com> 
---> Using cache 
---> aa564fe8be5a 

Step 2 : ADD . /composeapp 
---> c33aal47e19f 

Removing intermediate container 0097bc79d37b 


Step 3 : NORKDIR /composeapp 
---> Running in 76e5ee8544b3 
---> d9da3105746d 
Removing intermediate container 76e5ee8544b3 
Step 4 : RUN pip install -r requirements.txt 
---> Running in e71d4bb33fd2 
Downloading/unpacking flask (from -r requirements.txt (line 1)) 


Successfully installed flask redis Werkzeug Jinja2 itsdangerous markupsafe 
Cleaning up... 
---> bf@Fe6a69835 
Removing intermediate container e71d4bb33fd2 
Successfully built bf@fe6a69835 





这 样 就 创建 了 一 个 名 叫 jamtur81/composeapp 的 容器 ， 这 个 容器 包含 
了 示例 应 用 和 应 用 需要 的 依赖 。 现 在 可 以 使 用 Docker Compose 来 部 署 应 
用 了 。 





之 后 会 从 Docker Hub 上 的 默认 Redis 镜 像 直接 创建 Redis 容 器 ， 这 样 就 不 需要 重新 构建 或 
者 定制 Redis 容 器 了 。 





a 








7.1.3 docker-compose.yml 文件 








现在 应 用 镜像 已 经 构建 好 了 ， 可 以 配置 Compose 来 创建 需要 的 服务 了 。 

在 Compose 中 ， 我 们 定义 了 一 组 要 启动 的 服务 (以 Docker 容 器 的 形式 表 
现 ) ， 我 们 还 定义 了 我 们 希望 这 些 服 务 要 启动 的 运行 时 属性 ， 这 些 属性 
和 docker run 命令 需要 的 参数 类 似 。 将 所 有 与 服务 有 关 的 属性 都 定义 
在 一 个 YAML 文 件 里 。 之 后 执行 docker-compose up 命令 ， Compose 
s u 使 用 指定 的 参数 来 执行 ， 并 将 所 有 的 日 志 输 出 合并 到 
— U, 


先 来 为 这 个 应 用 创建 docker-compose.yml 文件 ， 如 代码 清单 7-10 所 
示 : 





代码 清单 7-10 ”创建 docker-compose.yml 文件 


$ touch docker-compose.yml 


现在 来 看 看 docker-compose.yml 文件 的 内 容 。docker-compose.yml 
是 YAML 格 式 的 文件 ， 包 括 了 一 个 或 者 多 个 运行 Docker 容 器 的 指令 。 现 
在 来 看 看 示例 应 用 使 用 的 指令 ， 如 代码 清单 7-11 所 示 。 


代码 清单 7-11 docker-compose.yml 文件 














web: 
image: jamtur@1/composeapp 
command: python app.py 
ports: 
- "5000:5000" 
volumes: 


. : /composeapp 
links: 
- redis 
redis: 
image: redis 





每 个 要 启动 的 服务 都 使 用 一 个 YAML 的 散 列 键 定 义 ， web 和 redis 。 


对 于 web 服务 ， 指 定 了 一 些 运 行 时 参数 。 首 先 ， 使 用 image 指定 了 要 使 
用 的 镜像 : jamtur81/composeapp 镜像 。Compose 也 可 以 构建 Docker 
镜像 。 可 以 使 用 build 指令 ， 并 提供 一 个 到 Dockerfile 的 路 径 iE 
Compose 构 建 一 个 镜像 ， 并 使 用 这 个 镜像 创建 服务 ， 如 代码 清单 7-12 所 
示 。 











代码 清单 7-12 build 指令 的 示例 





web: 
build: /home/james/composeapp 





这 个 build 指令 会 使 用 /home/james/composeapp 目录 下 的 
Dockerfile 来 构建 Docker 镜 像 。 





我 们 还 使 用 command 指定 服务 启动 时 要 执行 的 命令 。 接 下 来 使 用 ports 
和 volumes 指定 了 我 们 的 服务 要 映射 到 的 端口 和 卷 ， 我 们 让 服务 里 的 
5000 端 口 映 射 到 主机 的 5000 端 口 ， 并 创建 了 卷 /composeapp 。 最 后 使 


用 links 指定 了 要 连接 到 服务 的 其 他 服务 : 将 redis 服务 连接 到 web Hk 
务 。 


如 果 想 用 同样 的 配置 ， 在 代码 行 中 使 用 docker run 执行 服务 ， 需 要 像 
代码 清单 7-13 所 示 这 么 做 。 

















代码 清单 7-13 ”同样 效果 的 docker run 命令 


$ sudo docker run -d -p 5000:5000 -v .:/composeapp --link redis:redis \ 
--name jamtur@1/composeapp python app.py 








Lata SAT AMredis 的 服务 。 这 个 服务 没有 指定 任何 运行 时 的 
参数 ， 一 切 使 用 默认 的 配置 。 之 前 也 用 过 这 个 redis 镜像 ， 这 个 镜像 默 
认 会 在 标准 端口 上 局 动 一 个 Redis 数 据 库 。 这 里 没 必要 修改 这 个 默认 配 
置 。 


可 以 在 Docker Compose 官 网 B! #4 docker-compose. yml 所 有 可 用 的 指令 列表 。 








7.1.4 运行 Compose 


一 旦 在 docker-compose.yml 中 指定 了 需要 的 服务 ， 就 可 以 使 
用 docker-compose up 命令 来 执行 这 些 服 务 ， 如 代码 清单 7-14 所 示 。 


代码 清单 7-14 ”使 用 docker-compose up 启动 示例 应 用 服务 























$ cd composeapp 
$ sudo docker-compose up 
Creating composeapp redis_1... 
Creating composeapp web 1... 
Attaching to composeapp_redis_1, composeapp web 1 
redis 1 | [-.-. yee wt! 
redis 1 | 
redis 1 | 
redis 1 | ; 
redis 1 | `, .-' 
| ~ ' 
| 


redis 1 
redis 1 
redis 1 | [1] 13 Aug 01:48:32.218 # Server started, Redis version 2.8.13 
redis 1 | [1] 13 Aug 01:48:32.218 # WARNING overcommit_memory is set to 
@! Background save may fail under low memory condition. To fix this 


issue add 'vm.overcommit_memory = 1' to /etc/sysctl.conf and then reboot 
or run the command ‘sysctl vm.overcommit_memory=1' for this to take 
effect. 

redis 1 | [1] 13 Aug 01:48:32.218 * The server is now ready to accept 
connections on port 6379 

web 1 | * Running on http://0@.0.0.0:5000/ 

web_1 | * Restarting with reloader 








必须 在 docker-compose.yml 文件 所 在 的 目录 执行 大 多 数 Compose 命 令 











可 以 看 到 Compose 创 建 了 composeapp_redis 1 和 composeapp_web 1 
这 两 个 新 的 服务 。 那 么 ， 这 两 个 名 字 是 从 哪儿 来 的 呢 ? 为 了 保证 服务 
是 唯一 的 ，Compose 将 docker- compose.yml 文件 中 指定 的 服务 名 字 
加 上 了 目录 名 作为 前 级 ， 并 分 别 使 用 数字 作为 后 级 。 


Compose 之 后 接管 了 每 个 服务 输出 的 日 志 ， 和 输出 的 日 志 每 一 行 都 使 用 缩 
短 的 服务 名 字 作 为 前 级 ， 并 交替 输出 在 一 起 ， 如 代码 清 15 所 示 。 


代码 清单 7-15 ”Compose 服 务 输出 的 日 志 


redis 1 | [1] 13 Aug 01:48:32.218 # Server started, Redis version 2.8.13 


ARS (AlCompose) 交 蔡 运行 。 这 意味 着 ， 如 果 使 用 Ctrl+C 来 停止 
Compose 运 行 ， 也 会 停止 运行 的 服务 。 也 可 以 在 运行 Compose 时 指定 -d 
以 守护 进程 的 模式 来 运行 服务 〈 类 似 于 docker run -d ty 

志 ) ， 如 代码 清单 7-16 所 示 。 









































代码 清单 7-16 ”以 守护 进程 方式 运行 Compose 


$ sudo docker-compose up -d 


来 看 看 现在 宿主 机 上 运行 的 示例 应 用 。 这 个 应 用 绑 定 在 宿主 机 所 有 网 络 
接口 的 5000 端 口上 ， 所 以 可 以 使 用 宿主 机 的 卫 或 者 通过 localhost 来 浏 
览 访 网站。 














e © [ docker.example.com:5000 





Hello Docker Book reader! I have been seen 1 times 


e GC 门 docker.example.com:5000 





Hello Docker Book reader! I have been seen 1 times 





图 7-1 Compose 示 例 应 用 


可 以 看 到 这 个 页 面 上 显示 了 当前 计数 器 的 值 。 刷 新 网 站 ， 会 有 到 这 个 全 
在 增加 。 每 次 刷新 都 会 增加 保存 在 Redis 里 的 值 。Redis 更 新 是 通过 由 
Compose 控 制 的 Docker 容 器 之 间 的 链接 实现 的 。 


EAN 在 默认 1 青 况 下 ， Compose 会 试图 连接 到 本 地 的 Docker 守 护 进程 ， 不 过 也 会 
到 DOCKER_“ ` ~~ HOST 环境 变量 的 影响 ， 去 连接 到 一 个 远程 的 Docker 宿 主机 。 














7.1.5 ”使 用 Compose 


ee 他 选项 。 首 先 ， 使 用 Ctrl+Cc 关闭 正在 运行 的 
服务 ， 然 后 以 守护 进程 的 方式 启 动 这 些 服务 。 


在 composeapp 日 录 下 按 Ctrl+C ， 之 后 使 用 -d 标志 重新 运行 docker- 
compose up 命令 ， 如 代码 清单 7-17 所 示 。 


代码 清单 7-17 使 用 守护 进程 模式 重启 Docker Compose 


























$ sudo docker-compose up -d 
Recreating composeapp_redis 1... 
Recreating composeapp_web_1... 


$ . . . 





可 以 看 到 Docker Compose 重 新 创建 了 这 些 服 务 ， 局 动 它们 ， 最 后 返回 到 


命令 行 。 


现在 ， 在 宿主 机 上 以 守护 进程 的 方式 运行 了 受 Docker Compose 管 理 的 服 


务 。 使 用 docker-compose ps 命令 (docker ps MERER) WALA 
看 这 些 服务 的 运行 状态 。 


E HF docker-compose help 加 上 想 要 了 解 的 命令 ， 可 以 看 到 相关 的 Compose 帮 助 ， 比 
如 docker-compose help ps 命令 可 以 看 到 与 ps 相关 的 帮助 。 








docker-compose ps 命令 列 出 了 本 地 docker-compose.yml 文件 里 定 
义 的 正在 运行 的 所 有 服务 ， 如 代码 清单 7-18 所 示 。 


代码 清单 7-18 运行 docker-compose ps 命令 








$ cd composeapp 
$ sudo docker-compose ps 
Command 


composeapp_redis 1  redis-server Up 6379/tcp 
composeapp web 1 python app.py Up 5000->5000/tcp 














这 个 命令 展示 了 正在 运行 的 Compose 服 务 的 一 些 基 本 信息 : 每 个 服务 的 
名 字 、 局 动 服务 的 命令 以 及 每 个 服务 映射 到 的 端口 。 


还 可 以 使 用 docker-compose logs 命令 来 进一步 查看 服务 的 日 志 
件 ， 如 代码 清单 7-19 所 示 。 








代码 清单 7-19 ”显示 Docker Compose 服 务 的 日 志 








$ sudo docker-compose logs 
docker-compose logs 
Attaching to compeseapp redis ty composeapp_| web_1 


redis 1 | ( ‘ [hi Sep ) Running in stand alone 
mode 


redis 1 | | -.  -...-. ...-. oe |'. _.-'| Port: 6379 
redis 1 | ` a .-' | PID: 1 





这 个 命令 会 追踪 服务 的 日 志文 件 ， 很 类 似 tail -f 命 令 。 与 tail -f 命 
令 一 样 ， 想 要 退出 可 以 使 用 Ctr1l+C 。 





使 用 docker-compose stop 命令 可 以 停止 正在 运行 的 服务 ， 如 代码 清 
单 7-20 所 示 。 














代码 清单 7-20 ”停止 正在 运行 的 服务 














$ sudo docker-compose stop 
Stopping composeapp_web_1... 


Stopping composeapp_redis 1... 





这 个 命令 会 同时 停止 两 个 服务 。 如 果 访 服务 没有 停止 ， 可 以 使 
有 compose kill 命令 强制 杀 死 该 服务 。 


现在 可 以 用 docker-compose ps 命令 来 验证 服务 确实 停止 了 ， 如 代码 
清单 7-21 所 示 。 


























代码 清单 7-21 验证 Compose 服 务 已 经 停止 了 





$ sudo docker-compose ps 
Command State Ports 


composeapp redis 1 redis-server Exit 6 
composeapp web 1 python app.py Exit 6 





如 果 使 用 docker-compose stop 或 者 docker-compose kill 命令 停 
止 服务 ， 还 可 以 使 用 docker-compose start 命令 重新 启动 这 些 服 
务 。 这 与 使 用 docker start 命令 重启 服务 很 类 似 。 


最 后 ， 可 以 使 用 docker-compose rm 命令 来 删除 这 些 服务 ， 如 代码 清 
单 7-22 所 示 。 











代码 清单 7-22 ”删除 Docker Compose 服 务 

















$ sudo docker-compose rm 

Going to remove composeapp_redis 1, composeapp web 1 
Are you sure? [yN] y 

Removing composeapp_redis 1... 

Removing composeapp web 1... 


| | 
首先 会 提示 你 确认 需要 删除 服务 ， 确 认 之 后 两 个 服务 都 会 被 删 

除 。docker-compose ps 命令 现在 会 显示 没有 运行 中 或 者 已 经 停止 的 
服务 ， 如 代码 清单 7-23 所 示 。 








代码 清单 7-23 ”显示 没有 Compose 服 务 





$ sudo docker-compose ps 
Name Command State Ports 





7.1.6 ”Compose 小 结 


现在 ， 使 用 一 个 文件 就 可 以 构建 好 一 个 人 简 蛙 的 Python-Redis 栈 ! 可 以 看 
出 使 用 这 种 方法 能 够 非常 简单 地 构建 一 个 需要 多 个 Docker 容 器 的 应 用 程 
序 。 而 这 个 例子 ， 只 展现 了 Compose 最 表层 的 能 力 。 在 Compose 官 网 上 
有 很 多 例子 ， 比 如 使 用 Rails 4! 、Django ©! 和 Wordpress [el ， 来 展现 更 
las 的 概念 。 还 可 以 将 Compose 与 提供 图 形 化 用 户 界 面 的 Shipyard V 一 
2 使 用 。 


ERAS 在 compose 官 网 外 可 以 找到 完整 的 命令 行 参 考 手 册 。 





7.2 Consul、 服 务 发 现 和 Docker 


服务 发 现 是 分 布 式 应 用 程序 之 间 管 理 相 互 关系 的 一 种 机 制 。 一 个 分 布 式 
程序 一 般 由 多 个 组 件 组 成 。 这 些 组 件 可 以 都 放 在 一 台 机 器 上 ， 也 可 以 分 
布 在 多 个 数据 中 心 ， 甚 至 分 布 在 不 同 的 地 理 区 域 。 这 些 组 件 通常 可 以 为 
其 他 组 件 提供 服务 ， 或 者 为 其 他 组 件 消费 服务 。 


服务 发 现 允 许 茶 个 组 件 在 想 要 与 其 他 组 件 区 互 时 ， 目 动 找 到 对 方 。 由 于 
这 些 应 用 本 里 是 分 布 式 的 ， 服 务 发 现 机 制 也 需要 是 分 布 式 的 。 而 且 ， 服 
务 发 现 作 为 分 布 式 应 用 不 同 组 件 之 间 的 “胶水 ”， 其 本 身 还 需要 足够 动 
可 靠 ， 适 应 性 强 ， 而 且 可 以 快速 且 一 致 地 共 胖 关于 这 些 服务 的 数 


另外 ，Docker 主 要 关注 分 布 式 应 用 以 及 面 回 服务 架构 与 微服 务 架 构 。 这 
些 关 注 点 很 适合 与 某 个 服务 发 现 工 具 集 成 。 每 个 Docker 容 器 可 以 将 其 中 
运行 的 服务 注册 到 服务 发 现 工 具 里 。 注 册 的 信息 可 以 是 耳 地 址 或 者 端 
口 ， 或 者 两 者 都 有 ， 以 便服 务 之 间 进 行 交互。 


这 本 书 使 用 Consul [3 作为 服务 发 现 工具 的 例子 。Consul 是 一 个 使 用 一 致 
性 算法 的 特殊 数据 存储 器 。Consul 使 用 Raft H 一 致 性 算法 来 提供 确定 
的 写 入 机 制 。Consul 暴 露 了 键 值 存储 系统 和 服务 分 类 系统 ， 并 提供 高 可 
用 性 、 高 容错 能 力 ， 并 保证 强 一 致 性 。 服 务 可 以 将 自己 注册 到 Consul， 
并 以 高 可 用 且 分 布 式 的 方式 共享 这 些 信 息 。 


Consul 还 提供 了 一 些 有 趣 的 功能 。 


e 提供 了 根据 API 进 行 服务 分 类 ， 人 代替 了 大 部 分 传统 服务 发 现 工具 的 
键 值 对 存储 。 

e 提供 两 种 接口 来 查询 信息 : 基于 内 置 的 DNS 服务 的 DNS 查询 接口 和 
基于 HTTP 的 REST API 查 询 接口 。 选 择 合适 的 接口 ， 尤 其 是 基于 
DNS 的 接口 ， 可 以 很 方便 地 将 Consul 与 现 有 环境 集成 。 

° on 也 称 作 健康 监控 。Consul 内 置 了 强大 的 服务 监控 


为 了 更 好 地 理解 Consul 是 如 何 工 作 的 ， 本 章 先 介绍 如 何在 Docker 容 器 里 
分 布 式 运行 Consul。 之 后 会 从 Docker 容 器 将 服务 注册 到 Consul， 并 从 其 























他 Docker 容 器 访问 注册 的 数据 。 为 了 更 有 挑战 ， 运行 在 不 
同 的 Docker 宿 主机 上 。 


为 了 做 到 这 些 ， 需 要 做 到 以 下 几 点 。 

e 创建 Consul 服 务 的 Docker 镜 像 。 

。 构建 3 台 运 行 Docker 的 宿主 机 ， 并 在 每 台 上 运行 一 个 Consul。 这 3 台 
n 来 展现 Consul 如 何 处 理 弹 性 和 失效 
工作 的 。 

。 构建 服务 ， 并 将 其 注册 到 Consul， 然 后 从 其 他 服务 查询 该 数据 。 


可 以 在 http:/www.consul.io/intro/index.html 找到 对 Consul 更 通用 的 介绍 。 


7.2.1 构建 Consul 镜 像 


首先 创建 一 个 Dockerfile 来 构建 Consul 镜 像 。 先 来 创建 用 来 保 
存 Dockerfile 的 目录 ， 如 代码 清单 7-24 所 示 。 


代码 清单 7-24 创建 目录 来 保存 Consul 的 Dockerfile 
































$ mkdir consul 
$ cd consul 


$ touch Dockerfile 





现在 来 看 看 用 于 Consul 镜 像 的 Dockerfile 的 内 容 ， 如 代码 清单 7-25 所 
ZN o 





代码 清单 7-25 Consul Dockerfile 








FROM Ubuntu:14.64 

MAINTAINER James Turnbull <james@example.com> 

ENV REFRESHED AT 2014-08-01 

RUN apt-get -qqy update 

RUN apt-get -qqy install curl unzip 

ADD https://dl.bintray.com/mitchellh/consul/@.3.1_linux_amd64.zip 
/tmp/consul.zip 

RUN cd /usr/sbin && unzip /tmp/consul.zip && chmod +x /usr/sbin/ 
consul && rm /tmp/consul.zip 

ADD https://dl.bintray.com/mitchellh/consul/@.3.1_web_ui.zip 
/tmp/webui.zip 


RUN cd /tmp/ && unzip webui.zip && mv dist/ /webui/ 

ADD consul.json /config/ 

EXPOSE 53/udp 8300 8301 8301/udp 8302 8302/udp 8400 8500 

VOLUME ["/data"] 

ENTRYPOINT [ "/usr/sbin/consul", "agent", "-config-dir=/config" ] 
CMD [] 





这 个 Dockerfile 很 简单 。 它 是 基于 Ubuntu 14.0447 1, E248 curl 
和 unzip 。 然 后 我 们 下 载 了 包含 consul 可 执行 程序 的 zip 文 件 。 将 这 个 
可 执行 文件 移动 到 /usr/sbin 并 修改 属性 使 其 可 以 执行 。 我 们 还 下 载 了 
oe 将 其 放 在 名 为 /webui 的 目录 里 。 一 会 儿 束 会 看 到 这 

人 界面。 


之 后 将 Consul 配 置 文件 consul.json 添加 到 /config 目录 。 现 在 来 看 
看 配置 文件 的 内 容 ， 如 代码 清单 7-26 所 示 。 


代码 清单 7-26 consul.json 配置 文件 














"data dir": "/data", 

"ui dir": "/webui", 
"client_addr": "0.0.0.0", 
"ports": { 


"dns": 53 
Js 


"recursor": "8.8.8.8" 


} 





consul. json 配置 文件 是 做 过 JSON 格 式 化 后 的 配置 ， 提 供 了 Consul 运 
行 时 需要 的 信息 。 我 们 首先 指定 了 数据 目录 /data 来 保存 Consul 的 数 
据 ， 之 后 指定 了 网 页 界面 文件 的 位 置 : /webui 。 设 置 client_addr 变 
量 ， 将 Consu 绑 定 到 容器 内 的 所 有 网 页 界面 。 


之 后 使 用 ports 配置 Consul 服 务 运行 时 需要 的 端口 。 这 里 指定 Consul 的 
DNS 服务 运行 在 53 端 口 。 之 后 ， 使 用 recursor 选项 指定 了 DNS 服务 
器 ， 这 个 服务 器 会 用 来 解析 Consul 无 法 解析 的 DNS 请 求 。 这 里 指定 的 
8.8.8.8 是 Google 的 公共 DNS 服务 OH 的 一 个 也 地 址 。 














可 以 在 http:/www.consul.io/docs/agent/options.html 找到 所 有 可 用 的 Consul 配 置 选项 。 


回 到 之 前 的 Dockerfile ， 我 们 用 EXPOSE 指令 打开 了 一 系列 端口 ， 这 
些 端口 是 Consu 运 行 时 需要 操作 的 端口 。 表 7-1 列 出 了 每 个 端口 的 用 途 。 


表 7-1Consul 的 默认 端口 


53/udp DNS 服务 器 
8300 服务 器 RPC 








8301+udp Serf 的 LAN 端 口 


8302+udp Serf 的 WAN 端 口 
8400 RPC 接 入 点 
8500 HTTP API 


就 本 章 的 目的 来 说 ， 不 需要 关心 表 7-1 里 的 大 部 分 内 容 。 比 较 重 要 的 
是 53/udp 端口 ，Consul 会 使 用 这 个 端口 运行 DNS。 之 后 会 使 用 DNS 来 
获取 服务 信息 。 另 一 个 要 关注 的 是 858 端口 ， 它 用 于 提供 HTTP API 和 
网 页 界面 。 其 余 的 端口 用 于 处 理 后 台 通 信 ， 将 多 个 Consul 节 点 组 成 集 


群 。 之 后 我 们 会 使 用 这 些 端口 配置 Docker 容 妖 ， 但 并 不 深 完 其 用 途 。 











可 以 在 http://www.consul.io/docs/agent/options.html 找到 每 个 端口 更 详细 的 信息 。 








之 后 ， 使 用 VOLUME 指令 将 /data 目录 设置 为 卷 。 如 果 看 过 第 6 章 ， 就 知 
道 这 样 可 以 更 方便 地 管理 和 处 理 数 据 。 


最 后 ， 使 用 ENTRYPOINT 指令 指定 从 镜像 启动 容器 时 ， 启 动 Consul 服 务 
的 consul 可 执行 文件 。 


现在 来 看 看 使 用 的 命令 行 选项 。 首 先 我 们 已 经 指定 了 consul 执行 文件 
所 在 的 目录 为 /usr/sbin/ 。 参 数 agent 告诉 Consul 以 代理 节点 的 模式 
运行 ，-config-dir 标志 指定 了 配置 文件 consul.json 所 在 的 目录 
是 /config 。 


现在 来 构建 镜像 ， 如 代码 清单 7-27 所 示 。 


代码 清单 7-27 构建 Consul 镜 像 











$ sudo docker build -t="jamtur@1/consul" . 





可 以 从 官网 U2) 或 者 GitHub [13] 获得 Consul 的 Dockerfile 以 及 相关 的 配置 文件 。 
7.2.2 ”在 本 地 测试 Consul 容 器 
在 多 个 宿主 机 上 运行 Consul 之 前 ， 先 来 看 看 在 本 地 单独 运行 一 个 Consul 


的 情况 。 从 jamtur81/consul 镜像 局 动 一 个 容器 ， 如 代码 清单 7-28 所 
示 。 














代码 清单 7-28 执行 一 个 本 地 Consul 节 点 








$ sudo docker run -p 8500:8500 -p 53:53/udp \ 
-h node1 jamtur@1/consul -server -bootstrap 
==> Starting Consul agent... 
==> Starting Consul agent RPC... 
==> Consul agent running! 
Node name: 'node1' 


Datacenter: 'dc1' 


2014/08/25 21:47:49 [WARN] raft: Heartbeat timeout reached, starting 
election 

2014/08/25 21:47:49 [INFO] raft: Node at 172.17.0.26:8300 [Candidate] 
entering Candidate state 

2014/08/25 21:47:49 [INFO] raft: Election won. Tally: 1 

2014/08/25 21:47:49 [INFO] raft: Node at 172.17.0.26:8300 [Leader] 
entering Leader state 

2014/08/25 21:47:49 [INFO] consul: cluster leadership acquired 
2014/08/25 21:47:49 [INFO] consul: New leader elected: node1 
2014/08/25 21:47:49 [INFO] consul: member 'node1' joined, marking health 
alive 


[L CR 


使 用 docker run 创建 了 一 个 新 容器 。 这 个 容器 映射 了 两 个 端口 ， 容 器 
中 的 8566 端口 映射 到 了 主机 的 8589 端口 ， 容 器 中 的 53 端口 映射 到 了 
主机 的 53 端口 。 我 们 还 使 用 -h 标志 指定 了 容器 的 主机 名 node 。 这 个 名 
字 也 是 Consul 节 点 的 名 字 。 之 后 我 们 指定 了 要 局 动 鸭 Consul 镜 像 
jamtur@1/consul 。 


最 后 ， 给 consul 可 执行 文件 传递 了 两 个 标志 : -server 和 -bootstrap 
。 标 志 -server 告诉 Consul 代 理 以 服务 器 的 模式 运行 ， 标 志 - 
bootstrap 告诉 Consul 本 节点 可 以 自选 举 为 集群 领导 者 。 这 个 参数 会 让 
本 节点 以 服务 器 模式 运行 ， 并 可 以 执行 Raft 领 导 者 选举 。 

ERs RE. 每 个 数据 中 心 最 多 只 有 一 台 Consul 服 务 器 可 以 用 自 启 动 (bootstrap) 模 


式 运 行 。 人 否则 ， 如 果 有 多 个 可 以 进行 自选 举 的 节点 ， 整 个 集群 无 法 保证 一 致 性 。 后 面 将 其 他 
节点 加 入 集群 时 会 介绍 更 多 的 相关 信息 。 


可 以 看 到 ，Consul 启 动 了 nodel TA, 并 在 本 地 进行 了 领导 者 选举 。 
为 没有 别 的 Consul 节 点 运行 ， 刚 启动 的 节点 也 没有 其 余 的 连接 动作 。 


还 可 以 通过 Consul 网 页 界面 来 查看 市 点 情况 ， 在 浏览 器 里 打开 本 地 IP 的 
8500 端口 。 





















































e Œ [D docker.example.com:8500/ui/#/dc1/services 








图 7-2 Consul 网 页 界面 
7.2.3 ”使 用 Docker 运 行 Consul 集 群 


由 于 Consul 是 分 布 式 的 ， 通 常 可 以 简单 地 在 不 同 的 数据 中 心 、 云 服务 丙 
或 者 不 同 地 区 创建 3 个 (或 者 更 多 ) 服务 器 。 其 至 给 每 个 应 用 服务 右 添 
加 一 个 Consul 代 理 ， 以 保证 分 布 服务 具有 足够 的 可 用 性 。 本 章 会 在 3 个 
运行 Docker 守 护 进程 的 箱 主 机 上 运行 Consul， 来 模拟 这 种 分 布 环境 。 首 
先 创 建 3 个 Ubutnu 14.0474 EL: larry. curly 和 moe 。 每 个 主机 上 都 


已 经 安装 了 Docker 守 护 进程 ， 之 后 拉 取 jamtur61/consul 镜像 ， 如 代 
码 清单 7-29 所 示 。 


要 安装 Docker 可 以 使 用 第 2 章 中 介绍 的 安装 指令 












































代码 清单 7-29 拉 取 Consul 镜 像 


$ sudo docker pull jamtur@1/consul 


在 每 台 人 镜像 运行 一 个 Docker 容 器 。 
要 做 到 这 一 点 ， 首 先 需要 选择 运行 Consul 的 网 络 。 大 部 分 情况 下 ， ma 
网 络 应 该 是 个 私有 网 络 ， 不 过 既然 是 模拟 Consul 集 群 ， 这 里 使 用 每 台 
主机 上 的 公共 接口 ， 让 Consul 运 行 在 一 个 公共 网 络 上 。 这 需要 每 人 宿主 
机 都 有 一 个 公共 IP 地 址 。 这 个 地 址 也 是 Consul 代 理 要 绑 定 到 的 地 址 。 


首先 来 获取 larry 的 公共 IP 地 址 ， 并 将 这 个 地 址 赋值 给 环境 变量 
$PUBLIC_IP ， 如 代码 清单 7-30 所 示 。 


























代码 清单 7-30 给 larry 主机 设置 公共 IP 地 址 








larry$ PUBLIC_IP="$(ifconfig eth@ | awk -F ' *|:' '/inet addr/{ 
print $4}')" 
larry$ echo $PUBLIC_IP 


104.131.38.54 





之 后 在 curly 和 moe 上 创建 同样 的 gPUBLIC_IP 变量 ， 如 代码 清单 7-31 
所 示 。 








代码 清单 7-31 在 curly 和 moe 上 设置 公共 IP 地 址 











curly$ PUBLIC_IP="$(ifconfig eth@ | awk -F ' *|:' '/inet addr/{print 
$4}')" 

curly$ echo $PUBLIC IP 

104.131.38.55 

moe$ PUBLIC_IP="$(ifconfig eth@ | awk -F ' *|:' '/inet addr/{print $4}')" 
moe$ echo $PUBLIC_IP 

104.131.38.56 
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现在 3 台 宿 主机 有 3 个 IP 地 址 (如 表 7-2 所 示 )〉 ， 每 个 地 址 都 赋值 给 了 
$PUBLIC_IP 环境 变量 。 


表 7-2 Consult + PULPE HE 


IP 地 址 


na 
moe 104.131.38.56 


现在 还 需要 指定 一 台 宿 主机 为 自 启 动 的 主机 ， 来 启动 整个 集群 。 这 里 指 
定 larry 主机 。 这 意味 着 ， 需 要 将 larry 的 IP 地 址 告诉 curly 和 moe , 
以 便 让 后 两 个 答 主 机 知道 要 连接 到 Consul 节 点 的 哪个 集群 。 现 在 
larry 的 IP 地 址 164.131.38.54 添加 到 宿主 机 curly 和 moe 的 环境 变 
量 $JOIN_IP ， 如 代码 清单 7-32 所 示 。 








代码 清单 7-32 ”添加 集群 IP 地 址 





curly$ JOIN_IP=164.131.38.54 
moe$ JOIN_IP=164.131.38.54 





最 后 ， 修 改 每 台 窒 主机 上 的 Docker 守 护 进 程 的 网 络 配 置 ， 以 便 更 容易 使 
用 Consul。 将 Docker 守 护 进 程 的 DNS 查 找 设置 为 : 


e 本 地 Docker 的 IP 地 址 ， 以 便 使 用 Consul 来 解析 DNS:; 
。 Google 的 DNS 服 务 地 址 ， 来 解析 其 他 请 求 ; 
。 为 Consul 碍 询 指定 搜索 域 。 


要 做 到 这 一 点 ， 首 先 需 要 知道 Docker 接 口 dockere 的 IP 地 址 ， 如 代码 清 





单 7-33 所 示 。 





代码 清单 7-33 ”获取 dockere 的 IP 地 址 





larry$ ip addr show docker@ 
3: docker@: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue 
state UP group default 

link/ether 56:84:7a:fe:97:99 brd ff: fF: FF: fF: FF: FF 

inet 172.17.42.1/16 scope global docker@ 


valid lft forever preferred lft forever 
inet6 fe86: :5484:7aff:fefe:9799/64 scope link 
valid lft forever preferred lft forever 





可 以 看 到 这 个 接口 的 IP 地 址 是 172.17.42.1。 


使 用 这 个 地 址 ， 将 /etc/default/docker 文件 中 的 Docker 启 动 选 项 从 
代码 清单 7-34 所 示 的 默认 值 改 为 代码 清单 7-35 所 示 的 新 配置 。 


代码 清单 7-34 ”Docker 的 默认 值 





#DOCKER_OPTS="--dns 8.8.8.8 --dns 8.8.4.4" 








代码 清单 7-35 larry 上 新 的 Docker 默 认 值 




















DOCKER_OPTS='--dns 172.17.42.1 --dns 8.8.8.8 --dns-search service .consul' 





之 后 在 curly 和 moe 上 进行 同样 的 设置 找到 dockere 的 IP 地 址 ， 并 更 
新 到 /etc/ default/docker 文件 中 的 DOCKER_OPTS 标志 里 。 























其 他 的 分 布 式 环境 需要 使 用 合适 的 机 制 更 新 Docker 守 护 进 程 的 默认 值 。 更 多 信息 参见 第 
2 章 。 











之 后 在 每 台 宿 主机 上 重启 Docker 守 护 进程 ， 如 代码 清单 7-36 所 示 。 


代码 清单 7-36 在 larry 上 重启 Docker 守 护 进程 






































larry$ sudo service docker restart 


7.2.4 局 动 具有 目 启 动 功能 的 Consul 节 点 

现在 在 larry 局 动用 来 初始 化 整个 集群 的 目 启动 节点 。 由 于 要 映射 很 多 
端口 ， 使 用 的 docker run 命令 会 有 些 复杂 。 实 际 上 ， 这 个 命令 要 映射 

表 7-1 里 列 出 的 所 有 端口 。 而 且 ， 由 于 Consul 既 要 运行 在 容器 里 ， 又 要 和 
其 他 宿主 机 上 的 容器 通信 ， 所 以 需要 将 每 个 端口 都 映射 到 本 地 宿主 机 对 
应 的 端口 上 。 这 样 可 以 既 在 本 内 部 又 可 以 在 外 部 访问 Consul 了 。 


来 看 看 要 用 到 的 docker run 命令 ， 如 代码 清单 7-37 所 示 。 


代码 清单 7-37 启动 具有 自 启动 功能 的 Consul 节 点 





























larry$ sudo docker run -d -h $HOSTNAME \ 
-p 8300:8300 -p 8301:8301 \ 

-p 8301:8301/udp -p 8302:8302 \ 

-p 8302:8302/udp -p 8400:8400 \ 


-p 8500:8500 -p 53:53/udp \ 
--name larry_agent jamtur@1/consul \ 
-server -advertise $PUBLIC_IP -bootstrap-expect 3 





这 里 以 守护 进程 的 方式 从 jamtur61/consul 镜像 启动 了 一 个 容器 ， 用 
来 运行 Consul 代 理 。 命 令 使 用 -h 标志 将 容器 的 主机 名 设置 为 $HOSTNAME 
环境 变量 。 这 会 让 Consul 代 理 使 用 本 地 主机 名 larry 。 该 命令 还 将 8 个 
端口 映射 到 本 地 和 宿主 机 对 应 的 端口 。 

该 命令 还 指定 了 一 些 Consul 代 理 的 命令 行 参数 ， 如 代码 清单 7-38 所 示 。 


代码 清单 7-38 ”Consul 代 理 的 命令 行 参数 


-server -advertise $PUBLIC_IP -bootstrap-expect 3 


-server 标志 告诉 代理 运行 在 服务 器 模式 。-advertise 标志 告诉 代理 











通过 环境 变量 $PUBLIC_IP 指定 的 IP 广 播 自 己 。 最 后 ，-bootstrap- 
expect 标志 告诉 Consul 集 群 中 有 多 少 代理 。 在 这 个 例子 里 ， 指 定 了 3 个 
代理 。 这 个 标志 还 指定 了 本 节点 具有 上 自 局 动 的 功能 。 


现在 使 用 docker logs 命令 来 看 看 初始 Consul 容 器 的 日 志 ， 如 代码 清单 
7-39 所 示 。 


























代码 清单 7-39 ”启动 具有 自 启动 功能 的 Consul 节 点 

















larry$ sudo docker logs larry_agent 
==> Starting Consul agent... 
==> Starting Consul agent RPC... 
==> Consul agent running! 
Node name: ‘larry' 
Datacenter: 'dc1' 
Server: true (bootstrap: false) 
Client Addr: 0.0.0.0 (HTTP: 8500, DNS: 53, RPC: 8400) 
Cluster Addr: 104.131.38.54 (LAN: 8301, WAN: 8302) 
Gossip encrypt: false, RPC-TLS: false, TLS-Incoming: false 


2014/08/31 18:10:07 [WARN] memberlist: Binding to public address 
without encryption! 

2014/08/31 18:10:07 [INFO] serf: EventMemberJoin: larry 
104.131.38.54 

2014/08/31 18:10:07 [WARN] memberlist: Binding to public address 
without encryption! 

2014/08/31 18:10:07 [INFO] serf: EventMemberJoin: larry.dc1 
104.131.38.54 

2014/08/31 18:10:07 [INFO] raft: Node at 104.131.38.54:8300 
[Follower] entering Follower state 

2014/08/31 18:10:07 [INFO] consul: adding server larry (Addr: 
104.131.38.54:8300) (DC: dc1) 

2014/08/31 18:10:07 [INFO] consul: adding server larry.dc1 (Addr: 
104.131.38.54:8300) (DC: dc1) 

2014/08/31 18:10:07 [ERR] agent: failed to sync remote state: No 
cluster leader 

2014/08/31 18:10:08 [WARN] raft: EnableSingleNode disabled, and 
no known peers. Aborting election. 











可 以 看 到 larry 上 的 代理 已 经 局 动 了 ， 但 是 因为 现在 还 没有 其 他 节点 加 
入 集群 ， 所 以 并 没有 触发 选举 操作 。 从 仅 有 的 一 条 错误 信息 〈 如 代码 清 
单 7-40 所 示 ) 可 以 看 到 这 一 点 。 








代码 清单 7-40 AK 


f 


群 领导 者 的 错误 信息 


[ERR] agent: failed to sync remote state: No cluster leader 


7.25 ”启动 其 余 节 点 


现在 集群 已 经 局 动 好 了 ， 需 要 将 剩 下 的 curly 和 moe TAMAK. 
来 启动 curly 。 使 用 docker run 命令 来 启动 第 二 个 代理 ， 如 代码 清单 
7-41 所 示 。 





























代码 清单 7-41 在 curly 上 启动 代理 

















curly$ sudo docker run -d -h $HOSTNAME \ 
-p 8300:8300 -p 8301:8301 \ 

-p 8301:8301/udp -p 8302:8302 \ 

-p 8302:8302/udp -p 8400:8400 \ 


-p 8500:8500 -p 53:53/udp \ 
--name curly_agent jamtur@1/consul \ 
-server -advertise $PUBLIC_IP -join $JOIN_IP 





这 个 命令 与 larry 上 的 目 启 动 命令 很 相似 ， 只 是 传 给 Consul 代 理 的 参数 
有 变化 ， 如 代码 清单 7-42 所 示 。 











代码 清单 7-42 ”在 curly 上 启动 Consul 代 理 


-server -advertise $PUBLIC_IP -join $JOIN_IP 


首先 ， 还 是 使 用 -server 启动 了 Consul 代 理 的 服务 器 模式 ， 并 将 代理 绑 
定 到 用 -advertise 标志 指定 的 公共 IP 地 址 。 最 后 ，-join 告诉 Consul 
要 连接 由 环境 变量 $g]JOIN_IP 指定 的 larry 主机 的 IP 所 在 的 Consul 集 
群 。 


现在 来 看 看 启动 容器 后 发 生 了 什么 ， 如 代码 清单 7-43 所 示 。 
代码 清单 7-43 ”查看 Curly 代 理 的 日 志 









































curly$ sudo docker logs curly_agent 
==> Starting Consul agent... 
==> Starting Consul agent RPC... 
==> Joining cluster... 
Join completed. Synced with 1 initial agents 
==> Consul agent running! 
Node name: ‘curly' 
Datacenter: 'dc1' 
Server: true (bootstrap: false) 
Client Addr: 0.0.0.0 (HTTP: 8500, DNS: 53, RPC: 8400) 
Cluster Addr: 104.131.38.55 (LAN: 8301, WAN: 8302) 
Gossip encrypt: false, RPC-TLS: false, TLS-Incoming: false 


2014/08/31 21:45:49 [INFO] agent: (LAN) joining: [104.131.38.54] 
2014/08/31 21:45:49 [INFO] serf: EventMemberJoin: larry 104.131.38.54 
2014/08/31 21:45:49 [INFO] agent: (LAN) joined: 1 Err: <nil> 
2014/08/31 21:45:49 [ERR] agent: failed to sync remote state: No 
cluster leader 

2014/08/31 21:45:49 [INFO] consul: adding server larry (Addr: 
104.131.38.54:8300) (DC: dc1) 

2014/08/31 21:45:51 [WARN] raft: EnableSingleNode disabled, and 

no known peers. Aborting election. 





可 以 看 到 curly 已 经 连接 了 1larry ， 而 且 在 larry 上 应 该 可 以 看 到 代码 
清单 7-44 所 示 的 日 志 。 





代码 清单 7-44 curly 加 入 larry 





2014/08/31 21:45:49 [INFO] serf: EventMemberJoin: curly 
104.131.38.55 
2014/08/31 21:45:49 [INFO] consul: adding server curly (Addr: 


164.131.38.55:8366) (DC: dc1) 





这 还 没有 达到 集群 的 要 求 数量 ， 还 记得 之 前 -bootstrap-expect 参数 
指定 了 3 个 节点 吧 。 所 以 现在 在 moe 上 启动 最 后 一 个 代理 ， 如 代码 清单 
7-45 FTA o 




















no 














代码 清单 7-45 Emoe 上 启动 代理 


moe$ sudo docker run -d -h $HOSTNAME \ 














-p 8300:8300 -p 8301:8301 \ 

-p 8301:8301/udp -p 8302:8302 \ 

-p 8302:8302/udp -p 8400:8400 \ 

-p 8500:8500 -p 53:53/udp \ 

--name moe_agent jamtur@1/consul \ 

-server -advertise $PUBLIC_IP -join $JOIN_IP 





这 个 docker run 命令 基本 上 和 在 curly 上 执行 的 命令 一 样 。 只 是 这 次 
整个 集群 有 了 3 个 人 代理。 现在， 如果 查看 容 絮 的 日 志 ， 应 该 能 看 到 整个 
集群 的 状态 ， 如 代码 清单 7-46 所 示 。 

















代码 清单 7-46 moe 上 的 Consul 日 志 














moe$ sudo docker logs moe_agent 
==> Starting Consul agent... 
==> Starting Consul agent RPC... 
==> Joining cluster... 
Join completed. Synced with 1 initial agents 
==> Consul agent running! 
Node name: 'moe' 
Datacenter: 'dc1' 
Server: true (bootstrap: false) 
Client Addr: 0.0.0.0 (HTTP: 8500, DNS: 53, RPC: 8400) 
Cluster Addr: 104.131.38.56 (LAN: 8301, WAN: 8302) 
Gossip encrypt: false, RPC-TLS: false, TLS-Incoming: false 


2014/08/31 21:54:03 [ERR] agent: failed to sync remote state: No 
cluster leader 

2014/08/31 21:54:03 [INFO] consul: adding server curly (Addr: 
104.131.38.55:8300) (DC: dc1) 

2014/08/31 21:54:03 [INFO] consul: adding server larry (Addr: 
104.131.38.54:8300) (DC: dc1) 

2014/08/31 21:54:03 [INFO] consul: New leader elected: larry 





从 这 个 日 志 中 可 以 看 出 ，moe 已 经 连接 了 人 集群。 这样 Consul 集 群 就 达到 
A 这 里 larry 被 选举 为 集群 
领导 者 。 


在 larry 上 也 可 以 看 到 最 后 一 个 代理 节点 加 入 Consul 的 日 志 ， 如 代码 清 
单 7-47 所 示 。 





代码 清单 7-47 在 larry 上 的 Consul 领导 者 选举 日 志 











2014/08/31 21:54:63 [INFO] consul: Attempting bootstrap with nodes: 
[104.131.38.55:8300 104.131.38.56:8300 104.131.38.54:8300]| 
2014/08/31 21:54:03 [WARN] raft: Heartbeat timeout reached, 
starting election 

2014/08/31 21:54:03 [INFO] raft: Node at 104.131.38.54:8300 
[Candidate] entering Candidate state 

2014/08/31 21:54:03 [WARN] raft: Remote peer 104.131.38.56:8300 
does not have local node 104.131.38.54:8300 as a peer 
2014/08/31 21:54:03 [INFO] raft: Election won. Tally: 2 
2014/08/31 21:54:03 [INFO] raft: Node at 104.131.38.54:8300 
[Leader] entering Leader state 

2014/08/31 21:54:03 [INFO] consul: cluster leadership acquired 
2014/08/31 21:54:03 [INFO] consul: New leader elected: larry 


2014/08/31 21:54:03 [INFO] consul: member ‘larry’ joined, marking health 
alive 

2014/08/31 21:54:03 [INFO] consul: member ‘curly' joined, marking health 
alive 

2014/08/31 21:54:03 [INFO] consul: member 'moe' joined, marking health 
alive 





通过 浏览 Consul 的 网 页 界面 ， 选 择 Consul 服务 也 可 以 看 到 当前 的 状 
态 ， 如 图 7-3 所 示 。 


104,131.38.54:8 


SERVICES 


consul 


图 -> 

i larry 

a Serf Health Status 
i 

全 curly 

W 

j Sert Health Status 
f moe 

z Sert Health Status 








图 7-3 ”网 页 界面 中 的 Consul 服 务 


最 后 ， 可 以 通过 dig 命令 测试 DNS 服务 正在 工作 ， 如 代码 清单 7-48 所 
ZN o 

















代码 清单 7-48 测试 Consul 的 DNS 服务 





larry$ dig @172.17.42.1 consul.service.consul 

3 <<>> DiG 9.9.5-3-Ubuntu <<>> @172.17.42.1 consul.service.consul 
3 (1 server found) 

33 global options: +cmd 

35 Got answer: 

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 13502 

33 flags: qr aa rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: ©, ADDITIONAL: 6 
33 QUESTION SECTION: 

3;consul.service.consul. IN A 

33 ANSWER SECTION: 

consul.service.consul. © IN A 104.131.38.55 
consul.service.consul. © IN A 104.131.38.54 
consul.service.consul. © IN A 104.131.38.56 

33 Query time: 2 msec 

33 SERVER: 172.17.42.1#53_(172.17.42.1)_ 

33 WHEN: Sun Aug 31 21:30:27 EDT 2014 

33 MSG SIZE rcvd: 150 





这 里 查询 了 本 地 Docker 接 口 的 了 地 址 ， 并 将 其 作为 DNS 服务 器 地 址 ， 请 
求 它 返回 关于 consul.service.consul 的 相关 信息 。 这 个 域名 的 格式 
是 使 用 Consul 的 DNS 快速 查询 相关 服务 时 的 格式 : consul 是 主机 名 ， 


而 service.consul 是 域名 。 这 里 consul.service.consul 代表 


Consul 服 务 的 DNS 入 口 。 


例如 ， 代 码 清单 7-49 所 示 的 代码 会 返回 所 有 关于 webservice 服务 的 
DNS A 记录 。 














代码 清单 7-49 通过 DNS 查询 其 他 Consul 服 务 























larry$ dig @172.17.42.1 webservice.service.consul 








HY LA 7Ehttp://www.consul.io/docs/agent/dns.html 找到 更 多 关于 Consul 的 DNS 接口 的 信息 。 








现在 ， 台 不 同 的 宿主 机 依靠 其 中 运行 的 Docker 容 右 组 成 了 一 
cee 这 看 上 去 很 酷 ， 但 还 没有 什么 实际 用 处 。 ah 
在 Consul 中 注册 一 个 服务 ， 并 获得 相关 数据 。 


7.2.6 ”配合 Consul， 在 Docker 里 运行 一 个 分 布 式 服务 


为 了 演示 如 何 注册 服务 ， 先 基于 uWSGI 框 架 UA 创建 一 个 演示 用 的 分 布 
式 应 用 程序 。 这 个 应 用 程序 由 以 下 两 部 分 组 成 。 


。 一 个 Web 应 用 : distributed_app 。 它 在 启动 时 会 启动 相关 的 
Web 工 作 进程 Cworker) ， 并 将 这 些 程序 作为 服务 注册 到 Consul。 

ee) 一 个 应 用 客户 端 : distributed client 。 它 从 Consul 读 取 
= 相关 的 信息 ， 并 报告 当前 应 用 程序 的 状态 和 
配置 。 


distributed app 会 在 两 个 Consul 节 点 《〈 即 1arry 和 curly ) Fiz 
行 ， 而 distributed_client 客户 端 会 在 moe 节点 上 运行 


1. 构建 分 布 式 应 用 


现在 来 创建 用 于 构建 distributed_app 的 Dockerfile 。 先 来 创建 用 
于 保存 镜像 的 目录 ， 如 代码 清单 7-50 所 示 。 


代码 清单 7-50 ”创建 用 于 保存 distributed_app 的 Dockerfile 的 目录 

















$ mkdir distributed app 
$ cd distributed app 


$ touch Dockerfile 





现在 来 看 看 用 于 构建 distributed_app 的 Dockerfile 的 内 容 ， 如 代 
码 清 单 7-51 所 示 。 





代码 清单 7-51 distributed _app 使 用 的 Dockerfile 








FROM ubuntu:14.04 

MAINTAINER James Turnbull "james@example.com" 
ENV REFRESHED_AT 2014-06-01 

RUN apt-get -qqy update 


RUN apt-get -qqy install ruby-dev git libcurl4-openssl-dev curl 
build-essential python 

RUN gem install --no-ri --no-rdoc uwsgi sinatra 

RUN uwsgi --build-plugin https://github.com/unbit/uwsgi-consul 
RUN mkdir -p /opt/distributed_app 

WORKDIR /opt/distributed_app 

ADD uwsgi-consul.ini /opt/distributed_app/ 

ADD config.ru /opt/distributed_app/ 


ENTRYPOINT [ "uwsgi", "--ini", "“uwsgi-consul.ini", "--ini", 
"uwsgi-consul.ini:serveri", "--ini", "uwsgi-consul.ini:server2" | 
CMD [] 





这 个 Dockerfile 安装 了 一 些 需 要 的 包 ， 包 括 uWSGI 框 架 和 Sinatra 框 
架 ， 以 及 一 个 可 以 让 uwWSGI 写 入 Consul 的 插件 ts] 。 之 后 创建 了 目 

录 /opt/distributed_app/ ， 并 将 其 作为 工作 目录 。 之 后 将 两 个 文件 
uwsgi-consul.ini 和 config.ru 加 到 这 个 目录 中 。 


文件 uwsgi-consul.ini 用 于 配置 "WSGI， 来 看 看 这 个 文件 的 内 容 ， 如 
代码 清单 7-52 所 示 。 





代码 清单 7-52 uWSGI 的 配置 











[uwsgi] 

plugins = consul 

socket = 127.0.0.1:9999 

master = true 

enable-threads = true 

[server1] 

consul-register = url=http://%h.node.consul:8500, name= 
distributed_app, id=server1, port=2001 


mule = config.ru 

[server2] 

consul-register = url=http://%h.node. consul :8500, name= 
distributed app, id=server2,port=2002 

mule = config.ru 








文件 uwsgi-consul.ini 使 用 WSGI 的 Mule 结 构 来 运行 两 个 不 同 的 应 
用 程序 ， 这 两 个 应 用 都 是 在 Sinatra 框 架 中 写成 的 输出 “Hello World” 的 。 
现在 来 看 看 config.ru 文件 ， 如 代码 清单 7-53 所 示 。 


代码 清单 7-53 distributed_app 使 用 的 config.ru 文件 





require ‘rubygems' 
require ‘sinatra’ 
get '/' do 


"Hello World!" 
end 
run Sinatra: :Application 





文件 uwsgi-consul.ini 每 个 块 里 定义 了 一 个 应 用 程序 ， 分 别 标记 

为 server1 和 server2 。 每 个 块 里 还 包含 一 个 对 uWSGI Consul 插 件 的 
调用 。 这 个 调用 连 到 Consul 实 例 ， 并 将 服务 以 distributed_app 的 名 
字 ， 与 服务 名 server1 或 者 server2 ， 一 同 注册 到 Consul。 每 个 服务 使 
用 不 同 的 端口 ， 分 别 是 2691 和 2662 © 


当 该 框架 开始 运行 时 ， 会 创建 两 个 Web 应 用 的 工作 进程 ， 并 将 其 分 别 注 
册 到 Consul。 应 用 程序 会 使 用 本 地 的 Consu 节 点 来 创建 服务 。 参 数 %h 是 
主机 名 的 人 简写， 执行 时 会 使 用 正确 的 主机 名 蔡 换 ， 如 代码 清单 7-54 所 
ae 





代码 清单 7-54 Consul 插 件 的 URL 


url=http://%h.node.consul:8500... 


最 后 ，Dockerfile 会 使 用 ENTRYPOINT 指令 来 自动 运行 应 用 的 工作 进 
程 。 


现在 来 构建 镜像 ， 如 代码 清单 7-55 所 示 。 


代码 清单 7-55 ”构建 distributed_app 镜像 




















$ sudo docker build -t="jamtur@1/distributed_app" . 





EES 可以 从 官网 091 或 者 GitHub 07] 获取 distributed_app 的 Dockerfile 、 相 关 配 置 和 应 
用 程序 文件 。 











2. 构建 分 布 式 客户 站 


现在 来 创建 用 于 构建 distributed_client 镜像 的 Dockerfile 文件 。 
先 来 创建 用 来 保存 镜像 的 目录 ， 如 代码 清单 7-56 所 示 。 


代码 清单 7-56 ”创建 保存 distributed_client 的 Dockerfile 的 目录 

















$ mkdir distributed client 
$ cd distributed client 


$ touch Dockerfile 





现在 来 看 看 distributed_client 应 用 程序 的 Dockerfile 的 内 容 ， 如 
代码 清单 7-57 所 示 。 


代码 清单 7-57 distributed_clien t 使 用 的 Dockerfile 





FROM ubuntu:14.04 

MAINTAINER James Turnbull "james@example.com" 

ENV REFRESHED_AT 2014-06-01 

RUN apt-get -qqy update 

RUN apt-get -qqy install ruby ruby-dev build-essential 
RUN gem install --no-ri --no-rdoc json 


RUN mkdir -p /opt/distributed_ client 

ADD client.rb /opt/distributed_client/ 

WORKDIR /opt/distributed_ client 

ENTRYPOINT [ "ruby", "/opt/distributed_client/client.rb" ] 
CMD [] 





这 个 Dockerfile 先 安装 了 Ruby 以 及 一 些 需要 的 包 和 gem， 然 后 创建 
了 /opt /distributed_client 目录 ， 并 将 其 作为 工作 目录 。 之 后 将 
包含 了 客户 端 应 用 程序 代码 的 cLient.rb 文件 复制 到 镜像 

的 /opt/distributed client Hx. 


现在 来 看 看 这 个 应 用 程序 的 代码 ， 如 代码 清单 7-58 所 示 。 


代码 清单 7-58 distributed_client 应 用 程序 


require "rubygems" 











require "json" 

require "net/http" 

require "uri" 

require "resolv" 

uri = URI.parse("http://consul.service.consul:8500/v1/catalog/service/ 
distributed_app") 

http = Net::HTTP.new(uri.host, uri.port) 

request = Net::HTTP: :Get.new(uri.request_uri) 

response = http.request(request ) 

while true 


if response.body == "{}" 
puts "There are no distributed applications registered in Consul" 
sleep(1) 

elsif 


result = JSON.parse(response. body) 
result.each do |service| 
puts "Application #{service[ 'ServiceName']} with element #{service 
["ServiceID"]} on port #{service["ServicePort"]} found on node #1{ 
service["Node"]} (#{service[ "Address"]})." 
dns = Resolv::DNS.new. getresources("distributed_app.service.consul", 
Resolv: :DNS: :Resource: : IN: :A) 
puts "We can also resolve DNS - #{service[ 'ServiceName' ]}resolves 
to #{dns.collect { |d| d.address }.join(" and ")}." 
sleep(1) 
end 
end 
end 





这 个 客户 端 首先 检查 Consul HTTP API 和 Consul DNS， 判 断 是 否 存在 名 





叫 distributed_app 的 服务 。 客 户 端 查询 宿主 

机 consul.service.consul ， 返 回 的 结果 和 之 前 看 到 的 包含 所 有 
Connsul 集 群 节点 的 A 记录 的 DNS CNAME 记 录 类 似 。 这 可 以 让 我 们 的 查 
询 变 简单 。 


如 果 没 有 找到 服务 ， 客 户 端 会 在 控制 台 Cconsloe) 上 显示 一 条 消息 。 如 
果 检 查 到 distributed_app 服务 ， 就 会 : 


。 解析 从 API 返 回 的 JSON 输 出 ， 并 将 一 些 有 用 的 信息 输出 到 控制 合 ; 
。 对 这 个 服务 执行 DNS 奉 找 ， 并 将 返回 的 所 有 A 记 录 输 出 到 控制 合 。 


这 样 ， 就 可 以 查看 启动 Consul 集 群 中 distributed_app 容器 的 结果 。 














最 后 ，Dockerfile 用 ENTRYPOINT 命令 指定 了 容器 启动 时 ， 运 
4Fclient.rb 命令 来 启动 应 用 。 


现在 来 构建 镜像 ， 如 代码 清单 7-59 所 示 。 


代码 清单 7-59 构建 distributed_client 镜像 





$ sudo docker build -t="jamtur@1/distributed_client" . 








可 以 从 官网 8) 或 者 GitHub "9! 下 载 distributed client 的 Dockerfile 和 应 用 程序 
文件 。 





3. 局 动 分 布 式 应 用 


现在 已 经 构建 好 了 所 需 的 镜像 ， 可 以 在 larry 和 curly 上 启动 
distributed_app 应 用 程序 容 堪 了 。 假 设 这 两 侣 机 器 已 经 按照 之 前 的 
配置 正常 运行 了 Consul。 先 从 在 larry 上 运行 一 个 应 用 程序 实例 开始 ， 
如 代码 清单 7-60 所 示 。 














代码 清单 7-60 在 larry 启动 distributed_app 





larry$ sudo docker run -h $HOSTNAME -d --name larry_ distributed \ 
jamtur@1/distributed_app 





这 里 启动 了 jamtur81/distributed_app 镜像 ， 并 且 使 用 -h 标志 指定 
了 主机 名 。 主 机 名 很 重要 ， 因 为 WSGI 使 用 主机 名 来 获知 Consul 服 务 注 
册 到 了 哪个 节点 。 之 后 将 这 个 容器 命名 为 larry_distributed ， 并 以 
守护 进 方式 模式 运行 该 容器 。 

如 果 检 查 容器 的 输出 日 志 ， 可 以 看 到 uWSGI 启 动 了 Web 应 用 工作 进程 ， 
并 将 其 作为 服务 注册 到 Consul， 如 代码 清单 7-61 所 示 。 


代码 清单 7-61 distributed_app 日 志 输 出 





























larry$ sudo docker logs larry distributed 
[uWSGI] getting INI configuration from uwsgi-consul.ini 
*** Starting uWSGI 2.0.6 (64bit) on [Tue Sep 2 03:53:46 2014] *** 


[consul] built service JSON: {"Name":"distributed_app","ID":"server1", 
"Check": {"TTL":"30s"}, "Port": 2001} 

[consul] built service JSON: {"Name":"distributed_app","ID":"server2", 
"Check": {"TTL":"30s"}, "Port": 2002} 

[consul] thread for register_url=http://larry.node.consul:8500/v1/ 
agent/service/register check_url=http://larry.node.consul:8500/v1/ 
agent/check/pass/service:serverl name=distributed_app 

id=server1 started 


Tue Sep 2 03:53:47 2014 - [consul] workers ready, let's register 
the service to the agent 
[consul] service distributed_app registered successfully 





这 里 展示 了 部 分 日 志 。 从 这 个 日 志 里 可 以 看 到 uWSGI 已 经 月 动 了 。 
Consul 插 件 为 每 个 distributed_app 工作 进程 构造 了 一 个 服务 项 [201， 
并 将 服务 项 注册 到 Consul 里 。 如 果 现 在 检查 Consul 网 页 界面 ， 应 该 可 以 
看 到 新 注册 的 服务 ， 如 网 7-4 所 示 。 


104.131.38.54:8500/ui/#/del/services/distributed_app i] g 


© SERVICES NODES KEY/VALUE 
distributed_app 


图 consul 
(i distributed app 


No tags 


Not 
il larry 
| Service ‘distributed_app' check 


Serf Health Status 


larry 


j Service ‘distributed app' check 


Serf Health Status 


图 7-4 Consul 网 页 界面 中 的 distributed_app 服务 


现在 在 curly 上 再 局 动 一 个 Web 应 用 工作 进程 ， 如 代码 清单 7-62 所 示 。 


代码 清单 7-62 在 curly 上 启动 distributed app 








curly$ sudo docker run -h $HOSTNAME -d --name curly distributed \ 
jamtur@1/distributed_app 





如 果 碍 看 日 志 或 者 Consul 网 页 界面 ， 应 该 可 以 看 到 更 多 已 经 注册 的 服 
务 ， 如 图 7-5 所 示 。 





4. 局 动 分 布 式 应 用 客户 端 


现在 已 经 在 larry 和 curly 启动 了 Web 应 用 工作 进程 ， 继 续 在 moe 上 启 
动 应 用 客户 端 ， 看 看 能 不 能 从 Consul 碍 询 到 数据 ， 如 代码 清单 7-63 所 
ZN o 





代码 清单 7-63 ”在 moe 上 启动 distributed client 








moe$ sudo docker run -h $HOSTNAME -d --name moe distributed \ 
jamtur@1/distributed_ client 





这 次 ， 在 moe Listt Y jamtur@1/distributed client 镜像 ， 并 将 容 
器 命名 为 moe_distributed 。 现 在 来 看 看 容器 输出 的 日 志 ， 看 一 下 分 
布 式 客户 端 是 不 是 找到 了 Web 应 用 工作 进程 的 相关 信息 ， 如 代码 清单 7- 
64 所 示 。 


104.131.38.$4:8500/ui/#/del/services/distributed_app Go! 


f l 
€ SERVICES NODES KEYAVALUE HECKS PASSING | 
一 | | j 





distributed_app 


图 consul 
îi] distributed app | 


No tags 


i larry 


| Service ‘distributed app’ check 


Serf Health Status 


i larry 
Service ‘distributed app’ check 
Serf Health Status 

fl curly 


Service ‘distributed_app’ check 
Serf Health Status 


图 7-5 ”Consul 网 页 界面 上 的 更 多 distributed_app 服务 


























代码 清单 7-64 moe 上 的 distributed_client 日 志 











moe$ sudo docker logs moe distributed 

Application distributed_app with element server2 on port 2002 found on 
node larry (104.131.38.54). 

We can also resolve DNS - distributed_app resolves to 104.131.38.55 and 
104.131.38.54. 


Application distributed_app with element server1 on port 2001 found on 
node larry (104.131.38.54). 
We can also resolve DNS - distributed _app resolves to 104.131.38.54 


104.131.38.55. 

Application distributed_app with element server2 on port 2002 found 
node curly (104.131.38.55). 

We can also resolve DNS - distributed_app resolves to 104.131.38.55 
104.131.38.54. 

Application distributed_app with element server1 on port 2001 found 
node curly (104.131.38.55). 





从 这 个 日 志 可 以 看 到 ， 应 用 distributed client 查询 了 HTTP API, 
找到 了 关于 distributed_app 及 其 server1 和 server2 工作 进程 的 服 


务 项 ， 这 两 个 服务 项 分 别 运行 在 larry 和 curly 上 。 客 户 端 还 通过 DNS 
查找 到 运行 该 服务 的 节点 的 也 地 址 194.131.38.54 和 164.131.38.55 





在 真实 的 分 布 式 应 用 程序 里 ， 客 户 端 和 工作 进程 可 以 通过 这 些 信息 在 分 
布 式 应 用 的 节点 间 进 行 配 置 、 连 接 、 分 派 消息 。 这 提供 了 一 种 简单 、 方 
Fa eet E ae 
用 程序 。 








7.3 Docker Swarm 


Docker Swarm 是 一 个 原生 的 Docker 集 群 管理 工具 。Swarm 将 一 组 Docker 
主机 作为 一 个 虚拟 的 Docker 主 机 来 管理 。Swarm 有 一 个 非常 简单 的 架 
构 ， 它 将 多 台 Docker 主 机 作为 一 个 集群 ， 并 在 集群 级 别 上 以 标准 Docker 
API 的 形式 提供 服务 。 这 非常 强大 ， 它 将 Docker 容 器 抽象 到 集群 级 别 ， 
而 又 不 需要 重新 学 习 一 套 新 的 API。 这 也 使 得 Swarm 非常 容易 和 那些 已 
经 集成 了 Docker 的 工具 再 次 集成 ， 包 括 标准 的 Docker 客 户 端 。 对 Docker 
ZP mR, Swarm DTE A — BEY Docker E #L = o 


Swarm 也 像 其 他 Docker 工 具 一 样 ， 遵 循 了 类 似 笔记 本 电池 一 样 的 设计 原 
则 ， 虽 然 上 自 带 了 电池 ， 但 是 也 可 以 选择 不 使 用 它 。 这 意味 者 ，Swarm 提 
供 了 面 癌 简单 应 用 场景 的 工具 以 及 后 端 集成 ， 同 时 提供 了 API (目前 还 
处 于 成 长 期 ) 用 于 与 更 复杂 的 工具 及 应 用 场景 进行 集成 。Swarm 基 于 
Apache 2.0 许 可 证 发 布 ， 可 以 在 GitHub PH 上 找到 它 的 源 代码 。 


Swarm 仍 是 一 个 新 项 目 ， 它 的 基本 雏形 已 现 ， 但 是 亦 可 以 期 待 随 着 项 目的 进化 ， 它 可 以 
开发 和 演化 更 多 的 API。 可 以 在 GitHub 上 找到 它 的 发 展 蓝图 [2 。 


























7.3.1 ”安装 Swarm 


安装 Swarm 最 简单 的 方法 就 是 使 用 Docker 自 己 。 我 知道 这 上 听 起 来 可 能 
一 点 儿 超 前 ， 但 是 Docker 公 司 为 Swarm 提供 了 一 个 实时 更 新 的 Docker 镜 
像 ， 可 以 轻易 下 载 并 运行 这 个 镜像 。 我 们 这 里 也 将 采用 这 种 安装 方式 。 


因此 ，Swarm 没 有 像 第 2 章 那样 需要 很 多 前 提 条 件 。 这 里 我 们 假设 读者 
己 经 按照 第 2 章 的 指导 安装 好 了 Docker。 


要 想 文 持 Swarm，Docker 有 一 个 最 低 的 版 本 。 用 户 的 所 有 Docker 主 机 都 
必须 在 1.4.0 或 者 更 高 版 本 之 上 。 此 外 ， 运 行 Swarm 的 所 有 Docker 节 点 也 
都 必须 运行 着 同一 个 版 本 的 Docker。 不 能 混合 搭配 不 同 的 版 本 ， 比 如 应 
该 让 Docker 上 的 每 歌 节点 都 运行 在 1.6.0 之 上 ， 而 不 能 泥 用 1.5.0 版 本 和 
1.6.0 版 本 的 节点 。 


我 们 将 在 两 台 主 机 上 安装 Swarm， 这 两 台 主 机 分 别 为 smoker 和 joker 
o smoker 的 主机 IP 是 16.6.6.125 ，joker 的 主机 IP 是 19.6.6.135 。 














台 主 机 都 安装 并 运行 着 最 新 版 本 的 Docker。 


让 我 们 先 从 smoker 主机 开始 ， 在 其 上 拉 取 swarm 镜像 ， 如 代码 清单 7- 
65 所 示 。 





代码 清单 7-65 在 smoker 上 拉 取 Docker Swarm 镜像 


smoker$ sudo docker pull swarm 


之 后 再 到 joker 上 做 同样 的 操作 ， 如 代码 清单 7-66 所 示 。 


代码 清单 7-66 在 joker 上 拉 取 Docker Swarm 镜像 


joker$ sudo docker pull swarm 


我 们 可 以 确认 一 下 Swarm 镜像 是 否 下 载 成 功 ， 如 代码 清单 7-67 所 示 。 


代码 清单 7-67 ”查看 Swarm 镜像 



































$ docker images swarm 
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 


swarm latest bf8b6923851d 6 weeks ago 7.19 MB 





7.3.2 ”创建 Swarm 集群 


我 们 已 经 在 两 台 主 机 上 下 载 了 swarm 镜像 ， 之 后 就 可 以 创建 Swarm 集群 
了 。 人 集群 中 的 每 台 主 机 上 都 运行 着 一 个 Swarm 节点 代理 。 每 个 代理 都 将 
该 主机 上 的 相关 Docker 守 护 进 程 注 册 到 集群 中 。 和 节点 代理 相对 的 是 
Swarm 管理 者 ， 用 于 对 集群 进行 管理 。 


集群 注册 可 以 通过 多 种 可 能 的 集群 发 现 后 端 (discovery backend) 来 实 
现 。 默 认 的 集群 发 现 后 端 是 基于 Docker Hub。 它 允许 用 户 在 Docker Hub 
中 注册 一 个 集群 ， 然 后 返回 一 个 集群 ID， 我 们 之 后 可 以 使 用 这 个 集群 ID 
回 集群 添加 额外 的 节点 。 


























提示 | 其 他 的 集群 发 现 后 端 包括 etcd、Consul 和 Zookeeper， 甚 至 是 一 个 IP 地 址 的 静态 列表 。 我 
们 能 使 用 之 前 创建 的 Consule 和 集群 为 Docker Swarm 集 群 提供 发 现 方式 。 可 以 在 https://docs. 
ocker.com/swarm/discovery/ 获得 更 多 关于 集群 发 现 的 说 明 。 


这 里 我 们 使 用 默认 的 Docker Hub 作 为 集群 发 现 服务 创建 我 们 的 第 一 
Swarm 集群 。 我 们 还 是 在 smoker 主机 上 创建 Swarm 集群 ， nee n 
68 上 所 示 。 























Y 

















代码 清单 7-68 ”创建 Docker Swarm 














smoker$ sudo docker run --rm swarm create 
b811b0bc438cb9a06fb68a25f1c9d8ab 





我 们 看 到 该 命令 返回 了 一 个 字符 

$b811b0bc438cb9a06fb68a25f1c9d8ab 。 这 是 我 们 的 集群 ID。 这 是 
一 个 唯一 的 ID， 我 们 能 利用 这 个 ID 向 Swarm 集群 中 添加 节点 。 用 户 应 该 
保管 好 这 个 ID， 并 且 只 有 当 用 户 想 向 集群 中 添加 节点 时 才 拿 出 来 使 用 。 


接着 我 们 在 每 个 节点 上 运行 Swarm 代理 。 让 我 们 从 smoker 主机 开始 ， 
如 代码 清单 7-69 所 示 。 














代码 清单 7-69 在 smoker 上 运行 swarm 代理 














smoker$ sudo docker run -d swarm join --addr=10.0.0.125:2375 
token: //b811b@bc438cb9ae6Fb68a25F1c9d8ab 


b5fb4ecab5cc@dadc@eeb8c157b537125d37e541d0d96e11956c2903cab9ef FO 





接着 在 joker 上 运行 Swarm 代理 ， 如 代码 清单 7-70 所 示 。 


代码 清单 7-70 在 joker 上 运行 swarm 代理 






































joker$ sudo docker run -d swarm join --addr=10.0.0.135:2375 token 
://b811b@bc438cb9ae6Fb68a25F1c9d8ab 


537bc90446f12bfa3ba41578753b63F34Fd5Fd36179bFFa2dc152246F4b449d7 











这 将 创建 两 个 Swarm 人 代理， 这些 代理 运行 在 运行 了 swarm 镜像 的 Docker 


化 容器 中 。 我 们 通过 传递 给 容器 的 join 标志 ， 通 过 -addr ”选项 传递 
的 本 机 IP 地 址 ， 以 及 代表 集群 ID 的 token ， 启 动 一 个 代理 。 每 个 代理 都 
会 绑 定 到 它们 所 在 主机 的 IP 地 址 上。 每 个 代理 都 会 加 入 Swarm 集群 中 


[e] 


AA 像 Docker 一 样 ， 用 户 也 可 以 让 自己 的 Swarm 通过 TLS 和 Docker 节 点 进行 连接 。 我 们 将 会 
zn 绍 如何 配 置 Docker 来 使 用 TLS。 


我 们 可 以 通过 查看 代理 容器 的 日 志 来 了 解 代 理 内 部 是 如 何 工 作 的 ， 如 代 
码 清 单 7-71 所 示 。 




































































代码 清单 7-71 查看 smoker 代理 的 日 ; 


Ct 











smoker$ docker logs b5fb4ecab5cc 

time="2015-04-12T17:54:35Z" level=info msg="Registering on the 
discovery service every 25 seconds..." addr="10.0.0.125:2375" 
discovery="token: //b811b@bc438cb9ae@6Fb68a25F1c9d8ab" 
time="2015-04-12T17:55:00Z" level=info msg="Registering on the 


discovery service every 25 seconds..." addr="10.0.0.125:2375" 
discovery="token: //b811b@bc438cb9ae@6fb68a25F1c9d8ab" 





我 们 可 以 看 到 ， 代 理 每 隔 25 秒 就 会 癌 发 现 服务 进行 注册 。 这 将 告诉 发 现 
后 端 Docker Hub 该 代理 可 用 ， 该 Docker 服 务 器 也 可 以 被 使 用 。 

下 面 我 们 束 来 看 看 集群 是 如 何 工 作 的 。 我 们 可 以 在 任何 运行 着 Docker 的 
主机 上 执行 这 一 操作 ， 而 不 一 定 必须 要 在 Swarm 集群 的 节点 中 。 我 们 其 
至 可 以 在 自己 的 笔记 本 电脑 上 安装 好 Docker 并 下 载 了 swarm 镜像 后 ， 本 
地 运行 Swarm 集群 ， 如 代码 清单 7-72 所 示 。 


代码 清单 7-72” 列 出 我 们 的 Swarm 节点 











$ docker run --rm swarm list token:// 
b811b0bc438cb9a06fb68a25f1c9d8ab 
10.0.0.125:2375 


10.0.0.135:2375 





这 里 我 们 运行 了 swarm 镜 像 ， 并 指定 了 1ist 标志 以 及 集群 的 token 。 访 


命令 返回 了 集群 中 所 有 市 点 的 列表 。 下 面 让 我 们 来 启动 swarm 集群 管理 
者 。 我 们 可 以 通过 Swarm 集群 管理 者 来 对 集群 进行 管理 。 同 样 ， 我 们 也 
可 以 在 任何 安装 了 Docker 的 主机 上 执行 以 下 命令 ， 如 代码 清单 7-73 所 
示 。 























代码 清单 7-73 ”启动 Swarm 集群 管理 者 











$ docker run -d -p 2386:2375 swarm manage token:// 
b811b0bc438cb9a06Fb68a25F1c9d8ab 





这 将 创建 一 个 新 容器 来 运行 Swarm 集群 管理 者 。 同时 我 们 还 将 2386 端 

口 映 射 到 了 2375 端口 。 我 们 都 知道 2375 是 Docker 的 标准 端口 。 我 们 将 
使 用 这 个 端 Cs DC 出 或 者 API 进 行 交互。 我 们 运行 了 
swarm 镜像 ， a al `r 选 项 来 启动 管理 者 ， 还 指定 了 集群 
D。 现 在 我 们 就 可 以 通过 这 个 管理 者 来 向 集群 发 送 命 令 了 。 让 我 们 从 在 
Swarm 集群 中 运行 docker info 开始 。 这 里 我 们 通过 -H 选项 来 指定 
Swarm 集群 管理 节点 的 API 端 点 ， 如 代码 清单 7-74 所 示 。 


代码 清单 7-74 在 Swarm 集群 中 运行 docker info 命令 





$ sudo docker -H tcp://localhost:2380 info 
Containers: 4 

Nodes: 2 

joker: 10.0.0.135:2375- 

Containers: 2+ 

Reserved CPUs: © / 1L 


Reserved Memory: © B / 994 MiB 
smoker: 10.0.0.125:2375/ 
Containers: 2! 

Reserved CPUs: @ / 14 

Reserved Memory: © B / 994 MiB 





我 们 看 到 ， oF info Hath 2b Swarm 还 向 我 们 输出 了 
所 有 节点 信息 。 我 们 可 以 看 到 每 个 市 eT ‘ps 每 台 节 点 上 有 
多 少 容器 在 运 支行 ， 以 及 CPU 和 内 存 这 文 样 的 容量 信 ak 


7.3.3 ”创建 容器 











现在 让 我 们 通过 一 个 小 的 shell 循 环 操作 来 创建 6 个 Nginx 容 器 ， 如 代码 清 
单 7-75 所 示 。 











代码 清单 7-75 ”通过 循环 创建 6 个 Nginx 容 器 














$ for i in ‘seq 1 6 ;do sudo docker -H tcp://localhost:238@ run - 
d --name www-$i -p 80 nginx;done 

37d5c191d0d59f00228fbae86F54280ddd116677a7c fcb8be7FF48977206d1e2 
b194a69468c03cee9eb16369a3F9b157413576af3dcb78e1a9d61725c26c2ec7 
47923801a6c6045427ca49054Fb988FFe58e3e9F7FF3b1011537acf048984Fe7 


90f8bf04d80421888915c9ae8a3F9C35cf6bd351da52970b0987593ed703888Ff 
5bf@ab7ddcd72b11dee9064e504ea6231F9aaa846a230ea65a59422a2161F6ed4 
b15bce5e49fc4ee7443a93601b4dde1aa8aa048393e56a6b9C961438e419455c5 





这 里 我 们 运行 了 包装 在 一 个 shell 循 环 里 的 docker run 命令 。 我 们 通过 
H 选 项 为 Docker 客 户 端 指定 T tcp://localhost :2380 HF, 也 就 是 
Swarm 管理 者 的 地 址 。 我 们 告诉 Docker 以 守护 方式 启动 容器 ， 并 将 容器 
命名 为 ww- 加 上 一 个 循环 变量 $i 。 这 些 容器 都 是 基于 nginx 镜像 创建 
的 ， 并 都 打开 了 80 端 口 。 


我 们 看 到 上 面 的 命令 返回 了 6 个 容器 的 ID， 这 也 是 Swarm 在 集群 中 局 动 
的 6 个 容器 。 


让 我 们 来 看 看 这 些 正在 运行 中 的 容器 ， 如 代码 清单 7-76 所 示 。 
代码 清单 7-76 ”Swarm 在 集群 中 执行 docker ps 的 输出 


























$ sudo docker -H tcp://localhost:238@ ps 

CONTAINER ID IMAGE ... PORTS NAMES 
bi5bce5e49fc nginx 443/tcp,10.0.0.135:49161->80/tcp joker/www-6 
47923801a6c6 nginx 443/tcp,10.0.0.125:49158->80/tcp smoker/www-3 
Sbf@ab7ddcd7 nginx 443/tcp,10.0.0.135:49160->80/tcp joker/www-5 


96f8bf64d864 nginx 443/tcp,10.0.0.125:49159->80/tcp smoker/www-4 
b194a69468c@ nginx 443/tcp,10.0.0.135:49157->80/tcp joker/www-2 
37d5c191d@d5 nginx 443/tcp,10.0.0.125:49156->80/tcp smoker/www-1 








EEJ 这 里 我 们 省 略 了 输出 中 部 分 列 的 信息 ， 以 节省 篇 幅 ， 包 括 容 器 启动 时 运行 的 命令 、 容 器 
当前 状态 以 及 容器 创建 的 时 间 。 














我 们 可 以 看 到 我 们 已 经 运行 了 docker ps 命令 ， 但 它 不 是 在 本 地 Docker 
守护 进程 中 ， 而 是 路 Swarm 集群 运行 的 。 我 们 看 到 结 来 中 有 6 个 容器 在 

运行 ， 平 均 分 配 在 集群 的 两 个 节点 上 。 那 么 ，Swarm 是 如 何 决定 容器 应 
该 在 哪个 节点 上 运行 呢 ? 


Swarm 根据 过 滤器 Cfilter) 和 策略 (strategy) 的 结合 来 决定 在 哪个 节点 
上 运行 容器 。 


7.3.4 过 滤器 
过 滤器 是 告知 Swarm 该 优先 在 哪个 节点 上 运行 容器 的 明确 指令 。 
目前 Swarm 具有 如 下 5 种 过 滤器 : 

约束 过 滤器 (constraint filter) ; 


e 
。 亲 和 过 滤器 (affinity filter) ; 

e 依赖 过 滤器 (dependency filter) ; 
e 

e 

















端口 过 滤器 (port filter) ; 
健康 过 滤器 (health filter) 。 
下 面 我 们 束 来 逐个 了 解 一 下 这 些 过 滤器。 
1. 约束 过 滤器 
约束 过 滤器 依赖 于 用 户 给 各 个 节点 赋予 的 标签 。 举 例 来 说 ， 用 户 想 为 使 
用 特殊 存储 类 型 或 者 指定 操作 系统 的 节点 来 分 组 。 约束 过 滤器 需要 在 启 


动 Docker 守 护 进 程 时 ， 设 置 键 值 对 标签 ， 通 过 -label 标注 来 设置 ， 如 
代码 清单 7-77 所 示 。 





代码 清单 7.77 ”运行 Docker 守 护 进程 时 设置 约束 标签 


$ sudo docker daemon --label datacenter=us-east1 


Docker 还 提供 了 一 些 Docker 守 护 进 程 启动 时 标准 的 默认 约束 ， 包 括 内 核 
版 本 、 操 作 系 统 、 执 行 驱 动 Cexecution driver) 和 存储 驱动 (storage 
driver) 。 如 果 我 们 将 这 个 Docker 实 例 加 入 Swarm 集群 ， 就 可 以 通过 代码 
清单 7-78 所 示 的 方式 在 容器 启动 时 选择 这 个 Docker 实 例 。 

















代码 清单 7-78 启动 容器 时 指定 约束 过 滤器 








$ sudo docker -H tcp://localhost:2380 run -e constraint: 
datacenter==us-east1 -d --name www-usel -p 80 nginx 





这 里 我 们 启动 了 一 个 名 为 www-usel 的 容器 ， 并 通过 -e 选项 指定 约束 
条 件 ， 这 里 用 来 匹配 datacenter==us-east1 。 这 样 将 会 在 设置 了 这 
个 标签 的 Docker 守 护 进 程 中 启动 该 容 右 。 这 个 约束 过 滤器 文 持 相 等 下 
配 == 和 不 等 匹配 != ， 也 支持 使 用 正则 表达 式 ， 如 代码 清单 7-79 所 示 。 


代码 清单 7-79 ”启动 容器 时 在 约束 过 滤器 中 使 用 正则 表达 式 




















$ sudo docker -H tcp://localhost:2380 run -e constraint: 
datacenter==us-east* -d --name www-usel -p 80 nginx 





这 会 在 任何 设置 了 datacenter 标签 并 且 标 签 值 匹配 us-east* 的 
Swarm 节点 上 局 动容 器 。 


2. 亲 和 过 滤器 


杀 和 过 滤器 让 容器 运行 更 互相 接近 ， 比 如 让 容器 web1 挨 着 haproxy1 容 
恬 或 者 挨 着 指定 ID 的 容器 运行 ， 如 代码 清单 7-80 所 示 。 


代码 清单 7-80 ”启动 容器 时 指定 杀 和 过 滤器 




















$ sudo docker run -d --name www-use2 -e affinity:container==www-usel 
nginx 





这 里 我 们 通过 亲 和 过 滤器 启动 了 一 个 容器 ， 并 告诉 这 个 容器 运行 在 www- 
usel 容器 所 在 的 Swarm 节点 上 。 我 们 也 可 以 使 用 不 等 于 条 件 ， 如 代码 
清单 7-81 所 示 。 








代码 清单 7-81 启动 容器 时 在 杀 和 过 滤器 中 使 用 不 等 于 条 件 








$ sudo docker run -d --name db1 -e affinity:container!=www-usel 


mysql 


ee a >s YF 
Docker 在 任何 没有 运行 www-usel 容器 的 Swarm 节点 上 运 iene 


我 们 也 能 匹配 已 经 拉 取 了 指定 镜像 的 节点 ， 如 affinity 
:image==nginx 将 会 让 容器 在 任何 已 经 拉 取 了 nginx 镜像 的 节点 上 运 
行 。 或 者 ， 像 约束 过 滤器 一 样 ， 我 们 也 可 以 通过 按 名 字 或 者 正则 表达 式 
来 搜索 容器 来 匹配 特定 的 节点 ， 如 代码 清单 7-82 所 示 。 


代码 清单 7-82 ”局 动容 器 时 在 杀 和 过 滤器 中 使 用 正则 表达 式 


























$ sudo docker run -d --name db1 -e affinity:container ! =www-use* 
mysql 








3. 依赖 过 滤器 
在 具备 指定 卷 或 容器 链接 的 节点 上 启动 容器 。 
4. 端口 过 滤器 








通过 网 络 端口 进行 调度 ， 在 具有 指定 端口 可 用 的 节点 上 局 动容 器 ， 如 代 
码 清单 7-83 所 示 。 





代码 清单 7-83 ”使 用 端口 过 滤器 





$ sudo docker -H tcp://localhost:238@ run -d --name haproxy -p 
80:80 haproxy 





5. 健康 过 滤器 


利用 健康 过 滤器 ，Swarm 就 不 会 将 任何 容器 调度 到 被 认为 不 健康 的 节点 
通常 来 说 ， 不 健康 是 指 Swarm 管 理 者 或 者 发 现 服务 报告 某 集群 节点 
问题 。 





可 以 在 http://docs.docker.com/swarm/scheduler/filter/ 查看 到 Swarm 过 滤器 
的 完整 列表 ， 以 及 它们 的 具体 配置 。 


要 对 可 以 通过 为 swarm manage 命令 传递 -filter 标志 来 控制 哪些 过 滤器 能 用 。 











7.3.5 ”策略 


策略 允许 用 户 用 集群 节点 更 隐 式 的 特性 来 对 容器 进行 调度 ， 比 如 该 节点 
可 用 资源 的 数量 等 ， 只 在 拥有 足够 内 存 或 者 CPU 的 市 点 上 启动 容器 。 
Docker Swarm 现在 有 3 种 策略 : 平 铺 (Spread) 策略、 紧凑 
(BinPacking) 策略 和 随机 (Random) 策略 。 但 只 有 平 铺 策略 和 紧 凌 策 
略 才 真正 称 得 上 是 策略 。 默 认 的 策略 是 平 铺 策略 。 


可 以 在 执行 swarm manage 命令 时 ， 通 过 一 strategy 标志 设置 用 户 想 
选用 的 策略 。 


1. 平 铺 策略 


平 铺 策 上 略 会 选择 已 运行 容器 数量 最 少 的 市 点。 使 用 平 铺 策略 会 让 所 有 容 
器 比较 平均 地 分 配 到 集群 中 的 每 个 节点 上 。 


2. 紧凑 策略 

紧凑 策略 会 根据 每 个 节点 上 可 用 的 CPU 和 内 存 资源 为 节点 打分 ， 它 会 先 
返回 使 用 最 紧凑 的 节点 。 这 将 会 保证 节点 最 大 程度 地 被 使 用 ， 避 免 碎 片 
化 ， 并 确保 在 需要 启动 更 大 的 容器 时 有 最 大 数量 的 空间 可 用 。 

3. 随机 策略 


随机 集 略 会 随机 选择 一 个 节操 来 运行 容器 。 这 主要 用 于 调试 中 ， 生 产 环 
境 下 请 不 要 使 用 这 种 集 略 。 




















7.3.6 小结 


读者 可 能 希望 看 到 Swarm 还 是 很 有 潜力 的 ， 也 有 了 足够 的 基础 知识 来 尝 
试 一 下 Swam。 这 里 我 再 次 提醒 一 下 ，Swarm 还 处 于 beta 阶 段 ， 还 不 推荐 
在 生产 环境 中 使 用 。 


7.4 其 他 编 配 工具 和 组 件 


正如 前 面 提 到 的 ，Compose 和 Consul 不 是 Docker 编 配 工 具 这 个 家 族 里 唯 
一 的 选择 。 编 配 工具 是 一 个 快速 发 展 的 生态 环境 ， 没 有 办 法 列 出 这 个 领 
域 中 的 所 有 可 用 的 工具 。 这 些 工具 的 功能 不 尽 相 同 ， 不 过 大 部 分 都 属于 
以 下 两 个 类 型 : 


。 调度 和 集群 管理 ; 
© ARS AM 


| GER 本 节 中 列 出 的 服务 都 在 各 自 的 许可 下 开源 了 。 





7.4.1 Fleet#letcd 


Fleet 和 etcd 由 CoreOS [3] 团队 发 布 。Fleet AM 是 一 个 集群 管理 工具 ， 而 
etcd [25] 是 一 个 高 可 用 性 的 键 值 数 据 库 ， 用 于 共享 配置 和 服务 发 现 。 
Fleet 与 Systemd 和 etcd 一 起 ， 为 容器 提供 了 集群 管理 和 调度 能 力 。 可 以 把 
Fleet 看 作 是 systemd 的 扩展 ， 只 是 不 是 工作 在 主机 层面 上 ， 而 是 工作 在 
集群 这 个 层面 上 。 











7.4.2 Kubernetes 

Kubernetes [S] 是 由 Google 开 源 的 容器 集群 管理 工具 。 这 个 工具 可 以 使 
用 Docker 在 多 个 宿主 机 上 分 发 并 扩展 应 用 程序 。Kubernetes 主 要 关注 需 
要 使 用 多 个 容器 的 应 用 程序 ， 如 弹性 分 布 式微 服务 。 

7.4.3 Apache Mesos 

Apache Mesos P” 项 目 是 一 个 高 可 用 的 集群 管理 工具 。Mesos 从 Mesos 
0.20 开 始 ， 己 经 内 置 了 Docker 集 成， 允许 利用 Mesos 使 用 容器 。Mesos 在 
一 些 创 业 公司 里 很 流行 ， 如 著名 的 Twitter 和 AirBnB 。 

7.4.4 Helios 


Helios !?8! 项 目 由 Spotify 的 团队 发 布 ， 是 一 个 为 了 在 全 流程 中 发 布 和 管 
理 容器 而 设计 的 Docker 编 配 平 台 。 这 个 工具 可 以 创建 一 个 抽象 的 “ 作 





W”? Gob) ， 之 后 可 以 将 这 个 作业 发 布 到 一 个 或 者 多 个 运行 Docker 的 
Helios 宿 主机 。 


7.4.5 Centurion 


Centurion P! 是 一 个 基于 Docker 的 部 署 工 具 ， 由 New Relic 团 队 打 造 并 开 
源 。Centurion 从 Docker Registry 里 找到 容器 ， 并 在 一 组 窒 主 机 上 使 用 正 
确 的 环 卉 变量 、 主 机 卷 映 射 和 端口 映射 来 运行 这 个 容器 。 这 个 工具 的 目 
的 是 帮助 开发 者 利用 Docker 做 持续 部 署 。 


7.5 小结 
本 章 介 绍 了 如 何 使 用 Compose 进 行 编 配 工作 ， 展 示 了 如 何 添加 一 个 


Compose 配 置 文件 来 创建 一 个 简单 的 应 用 程序 栈 ， 还 展示 了 如 何 运 行 
Compose 并 构建 整个 栈 ， 以 及 如 何 用 Compose 完 成 一 些 基 本 的 管理 工 
[Fa 


本 童 还 展示 了 服务 发 现 工具 Consul， 介 绍 了 如 何 将 Consul 安 装 到 Docker 
以 及 如 何 创 建 Consu 节 点 集群 ， 还 演示 了 在 Docker 上 简单 的 分 布 式 应 用 
如 何 工 作 。 

我 们 还 介绍 了 Docker 自 己 的 集群 和 调度 工具 Docker Swarm. 


我 们 学 习 了 如 何 安 装 Swarm， 如 何 对 Swarm 进 行 管理 ， 以 及 如 何在 
Swarm 集 群 间 进行 任务 调度 。 


本 章 最 后 展示 了 可 以 用 在 Docker 生 态 环境 中 的 其 他 编 配 工具 。 


下 一 章 会 介绍 Docker API， 如 何 使 用 这 些 API， 以 及 如 何 通 过 TLS 与 
Docker 守 护 进 程 建 立 安全 的 链接 。 
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第 8 章 ”使 用 Docker API 








在 第 6 章 中 ， 我 们 已 经 学 习 了 很 多 优秀 的 例子 ， 关 于 如 何在 Docker 中 运 
行 服务 和 构建 应 用 程序 ， 以 及 以 Docker 为 中 心 的 工作 流 。TProv 应 用 就 
是 其 中 一 例 ， 它 主要 以 在 命令 行 中 使 用 docker 程序 ， 并 且 获 取 标 准 输 
出 的 内 容 。 从 与 Docker 进 行 集成 的 角度 来 看 ， 这 并 不 是 一 个 很 理想 的 方 
7 尤其 是 Docker 提 供 了 强大 的 API， 用 户 完全 可 以 直接 将 这 些 API 用 于 
成 。 


在 本 章 中 ， 我 们 将 会 介绍 Docker API， 并 看 看 如 何 使 用 它 。 我 们 已 经 了 
解 了 如 何 将 Docker 守 护 进 程 绑 定 到 网 络 端口 ， 从 现在 开始 我 们 将 会 从 一 
个 更 高 的 层次 对 Docker API 进 行 审视 ， 并 抓 住 它 的 核心 内 容 。 我 们 还 会 
再 回顾 一 下 TProv 这 个 应 用 ， 这 个 应 用 我 们 在 第 6 章 里 已 经 见 过 了 ， 在 本 
章 我 们 会 将 其 中 直接 使 用 了 docker 命令 行程 序 的 部 分 用 Docker API 进 
行 重 写 。 最 后 ， 我 们 还 会 再 看 一 下 如 何 使 用 TLS 来 实现 API 中 的 认证 功 


ob 
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8.1 Docker API 


在 Docker 生 态 系统 中 一 共有 3 种 API H 。 
e Registry API: 提供 了 与 来 存储 Docker 镜 像 的 Docker Registry 集 成 的 


功能 。 
e Docker Hub API: 提供 了 与 Docker Hub 2! 集成 的 功能 。 
e Docker Remote API: 提供 与 Docker 守 护 进程 进行 集成 的 功能 。 


所 有 这 3 种 API 都 是 RESTful B! 风格 的 。 在 本 章 中 ， 我 们 将 会 着 重 对 
Remote API 进 行 介绍 ， 因 为 它 是 通过 程序 与 Docker 进 行 集成 和 交互 的 核 
心 内 容 。 





8.2 ” 初 识 Remote API 


让 我 们 浏览 一 下 Docker Remote API， 并 看 看 它 都 提供 了 哪些 功能 。 首 先 
需要 牢记 的 是 ，Remote API 是 由 Docker 守 护 进程 提供 的 。 在 默认 情况 
下 ，Docker 守 护 进 程 会 绑 定 到 一 个 所 在 答 主 机 的 套 接 字 ， 

即 unix:///var/run/docker.sock 。Docker 守 护 进 程 需要 以 root A 
限 来 运行 ， 以 便 它 有 足够 的 权限 去 管理 所 需要 的 资源 。 也 正如 在 第 2 章 
所 阐述 的 那样 ， 如 果 系 统 中 存在 一 个 名 为 docker 用 户 组 ，Docker 会 将 
上 面 所 说 的 套 接 字 的 所 有 者 设 为 该 用 户 组 。 因 此 任何 属于 docker 用 户 
组 的 用 户 都 可 以 运行 Docker 而 无 需 root 权限 。 








ERED fic, Bokdocker 用 户 组 让 我 们 的 工作 变 得 更 轻松 ， 但 它 依 旧 是 一 个 值得 注意 的 安全 
隐患 。 可 以 认为 docker 用 户 组 和 root 具有 相当 的 权限 ， 应 该 确保 只 有 那些 需要 此 权限 的 用 
户 和 应 用 程序 才能 使 用 该 用 户 组 。 









































如 果 我 们 只 查询 在 同一 台 和 宿主 机 上 运行 Docker 的 Remote API， 那 么 上 面 
的 机 制 看 起 来 没什么 问题 ， 但 是 如 果 我 们 想 远 程 访问 Remote API， 我 们 
就 需要 将 Docker 守 护 进 程 绑 定 到 一 个 网 络 接口 上 去 。 我 们 只 需要 给 
Docker 守 护 进 程 传 递 一 个 -H 标志 即 可 做 到 这 一 点 。 


如 果 用 户 可 以 在 本 地 使 用 Docker API， 那 么 就 可 以 使 用 nc 命令 来 进行 查 
询 ， 如 代码 清单 8-1 所 示 。 





代码 清单 8-1 ”在 本 地 查询 Docker API 





$ echo -e "GET /info HTTP/1.@\r\n" | sudo nc -U /var/run/docker. 
sock 





在 大 多 数 操作 系统 上 ， 可 以 通过 编辑 守护 进程 的 局 动 配置 文件 将 Docker 
守护 进程 绑 定 到 指定 网 络 接口 。 对 于 Ubuntu 或 者 Debian， 我 们 需要 编 
t /etc/default/docker 文件 ， 对 于 使 用 了 Upstart 的 系统 ， 则 需要 编 
辑 /etc/init/docker.conf 文 件 ， 对 于 Red Hat、Redora 及 相关 发 布 
版 本 ， 则 需要 编辑 /etc/sysconfig/docker 文 件 ， 对 于 那些 使 用 了 
”Systemd 的 发 布 版 本 ， 则 需要 编 

t /usr/lib/systemd/system/docker.service 文件 。 





让 我 们 来 看 看 如 何在 一 个 运行 systemd 的 Red Hat 衡 生 版 上 将 Docker 守 护 
进程 绑 定 到 一 个 网 络 接口 上 。 我 们 将 编 

# /usr/lib/systemd/system/docker.service 文件 ， 将 代码 清单 8- 
2 所 示 的 内 容 修改 为 代码 清单 8-3 所 示 的 内 容 。 


代码 清单 8-2 ”默认 的 Systemd 守 护 进 程 启动 选项 


ExecStart=/usr/bin/docker -d --selinux-enabled 


代码 清单 8-3” 绑 定 到 网 络 接 口 的 Systemd 守 护 进程 启动 选项 


























ExecStart=/usr/bin/docker -d --selinux-enabled -H tcp://0.0.0.0:2375 





这 将 把 Docker 和 守护 进程 绑 定 到 该 宿主 机 的 所 有 网 络 接口 的 2375 端 口上 。 
e 命令 来 重新 加 载 并 启动 该 守护 进程 ， 如 代码 清 
48-4 FITZ o 























代码 清单 8-4 重新 加 载 和 启动 Docker 守 护 进 程 


$ sudo systemctl --system daemon-reload 


] 户 还 需要 确保 任何 Docker 宿 主机 上 的 防火 墙 或 者 自己 和 Docker 主 机 之 间 的 防火 墙 能 
许 用 户 在 2375 端 口上 与 该 了 地址 进行 TCP 通 信 。 


现在 我 们 可 以 通过 docker 客户 端 命 令 的 -H 标志 来 测试 一 下 刚才 的 配置 
是 否 生 效 。 让 我 们 从 一 人 台 远 程 主机 来 访问 Docker 守 护 进 程 ， 如 代码 清单 
8-5 所 示 。 
















































































代码 清单 8-5 ”连接 到 远程 Docker 守 护 进 程 




















$ sudo docker -H docker.example.com:2375 info 
Containers: 6 


Images: 6 
Driver: devicemapper 
Pool Name: docker-252:0-133394-pool 
Data file: /var/lib/docker/devicemapper/devicemapper/data 


Metadata file: /var/lib/docker/devicemapper/devicemapper/metadata 





这 里 假定 Docker 所 在 主机 名 为 docker .example.com ， 并 通过 -H 标志 
来 指定 了 该 主机 名 。Docker 提 供 了 更 优雅 的 DOCKER_HOST 环境 变量 
〈 见 代码 清单 8-6) ， 这 样 就 省 挥 了 每 次 都 需要 设置 -H 标志 的 奔 烦 。 











代码 清单 8-6 ”检查 DOCKER_HOST 环境 变量 

















$ export DOCKER HOST="tcp://docker.example.com:2375" 











[> 


请 记 住 ， 与 Docker 守 护 进 程 之 间 的 网 络 连 接 是 没有 经 过 认证 的 ， 是 对 外 开放 的 。 在 本 章 
甸 ， 我 们 将 会 看 到 如 何 为 网 络 连 接 加 入 认证 功能 。 























ay ig 
U 








8.3 测试 Docker Remote API 


代码 清单 8-7 使 用 info API 接 入 点 





$ curl http://docker.example.com:2375/info 
{ 


"Containers": @, 
"Debug": 6， 
"Driver": "devicemapper", 


"TPv4Forwarding": 1, 

"Images": 6， 

"IndexServerAddress": "https://index.docker.io/v1/", 
"InitPath": "/usr/libexec/docker/dockerinit", 
"InitShai": "dafd83a92eb@fc7c657e8eaeG6bF493262371a7a", 
"KernelVersion": "3.9.8-300.fc19.x86_ 64", 
"LXCVersion": "0.9.0", 

"MemoryLimit": 1, 

"NEventsListener": 0, 

"NFd": 10, 

"NGoroutines": 14, 

"SwapLimit": 6 





这 里 通过 curl 命令 连接 到 了 提供 了 Docker API 的 网 
址 http://docker.example.com:2375 ， 并 指定 了 到 Docker API 的 路 
径 : 主机 docker.example.com 上 的 2375 端口 ，info RAK. 


可 以 看 出 ，API 返 回 的 都 是 JSON 散 列 数 据 ， 上 面 的 例子 的 输出 里 包括 了 
关于 Docker 守 护 进 程 的 系统 信息 。 这 展示 出 Docker API 可 以 正常 工作 并 
返回 了 一 些 数据 。 


8.3.1 通过 API 来 管理 Docker 锐 像 


让 我 们 从 一 些 基 础 的 API 开 始 : 操作 Docker 镜 像 的 API。 我 们 将 从 获取 
Docker 守 护 进程 中 所 有 镜像 的 列表 开始 ， 如 代码 清单 8-8 所 示 。 


代码 清单 8-8 





























过 API 获 取 镜 像 列 表 


i 





$ curl http://docker.example.com:2375/images/json | python -mjson.tool 


[ 


{ 
"Created": 1404088258, 


"Id": "2 
e9e5fdd46221b6d83207aa62b3960a0472b40a89877ba71913998ad9743e065", 
"ParentiId":"7 
cd@eb092704d1be04173138be5caee3a3e4bea5838dcde9ce@504cdc1if24cbb", 
"RepoTags": [ 
"docker:master" 
], 
"Size": 186470239, 
"VirtualSize": 1592910576 
hs 
{ 
"Created": 1403739688, 
"Td": "15 
d0178048e904fee25354db77091b935423a829f171f3e3cf27f04ffcf7cf56", 
"ParentId": "74830 
af969b02bb2cec5fe04bb2e168a4f8d3db3ba504e89cacba99a262baf48", 
"RepoTags": [ 
"jamtur@1/jekyl1l:latest" 


"VirtualSize": 607622922 
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这 里 使 用 了 /images/json 这 个 接 入 点 ， 它 将 返回 Docker 守 护 进 程 中 的 
所 有 镜像 的 列表 。 它 的 返回 结 末 提供 了 与 docker images 命令 非常 类 
似 的 信息 。 我 们 也 可 以 通过 镜像 ID 来 查询 某 一 镜像 的 信息 ， 如 代码 清单 
8-9 所 示 ， 这 非常 类 似 于 使 用 docker inspect 命令 来 查看 某 镜像 ID。 


代码 清单 8-9 ”获取 指定 镜像 














curl <a>http://docker.example.com:2375/images/</a> 
15 


d0178048e904Fee25354db77891b935423a829F171F3e3cf27FO4FFCF7CF56/ 
json | python -mjson.tool 


{ 


"Architecture": "amd64", 
"Author": "James Turnbull <james@example.com>", 
"Comment": "", 
"Config": { 

"AttachStderr": false, 

"AttachStdin": false, 

"AttachStdout": false, 

"Cmd": [ 

"--config=/etc/jekyll.conf" 
l 





上 面 是 我 们 查看 jamtur81/jeky1l11 镜像 时 输出 的 一 部 分 内 容 。 最 后 ， 
也 像 命 令 行 一 样 ， 我 们 也 可 以 在 Docker Hub 上 查找 镜像 ， 如 代码 清单 8- 
10 所 示 。 





代码 清单 8-10 ”通过 API 搜 索 镜 像 








$ curl "http://docker.example.com:2375/images/search?term= 
jamtur@1" | python -mjson.tool 
[ 


{ 


"description": 
"is official": false, 

"is trusted": true, 

"name": "jamtur@1/docker-presentation", 
"star_count": 2 


"description": y 

"is official": false, 

"is trusted": false, 

"name": "jamtur@1/dockerjenkins", 
"star_count": 1 


hs 


pO 


在 上 面 的 例子 里 我 们 搜索 了 名 字 中 带 jamtur81l 的 所 有 和 镜像， 并 显示 了 
该 搜索 返回 结果 的 一 部 分 内 容 。 这 只 是 使 用 Docker API 能 完成 的 工作 的 
个 例子 而 已 ， 实 际 上 还 能 用 API 进 行 镜像 构建 、 更 新 和 删除 。 





8.3.2 ”通过 API 管 理 Docker 容 器 


Docker Remote API 也 提供 了 所 有 在 命令 行 中 能 使 用 的 对 容器 的 所 有 操 
作 。 我 们 可 以 使 用 /containers 接 入 点 列 出 所 有 正在 运行 的 容器 ， 如 
代码 清单 8-11 所 示 ， 就 像 使 用 docker ps 命令 一 样 。 


代码 清单 8-11 列 出 正在 运行 的 容器 




















$ curl -s "http://docker.example.com:2375/containers/json" | 
python -mjson.tool 
[ 
{ 
"Command": "/bin/bash", 
"Created": 1404319520, 
"Id": 
"cf925ad4f3b9Ffea231aee386eFf122F8F99375a90d47Fc7cbe43facid962dc51b", 
"Image": "“ubuntu:14.04", 
"Names": [ 
"/desperate_euclid" 


"Status": "Up 3 seconds" 


} 








这 个 查询 将 会 显示 出 在 Docker 窒 主机 上 正在 运行 的 所 有 容器 ， 在 这 个 例 
子 里 只 有 一 个 容器 在 运行 。 如 果 想 同时 列 出 正在 运行 的 和 已 经 停止 的 容 
器 ， 我 们 可 以 在 接 入 点 中 增加 al1 标志 ， 并 将 它 的 值 设置 为 1 ， 如 代码 
清单 8-12 所 示 。 








代码 清单 8-12 ”通过 API 列 出 所 有 容器 


http: //docker.example.com:2375/containers/json?all=1 











pO 


我 们 也 可 以 通过 使 用 POST 请 求 来 调用 /containers/create 接 入 点 来 
创建 容器 ， 如 代码 清单 8-13 所 示 。 这 是 用 来 创建 容器 的 API 调 用 的 一 个 
最 简单 的 例子 。 





代码 清单 8-13 ”通过 API 创 建 容器 








$ curl -X POST -H "Content-Type: application/json" \ 
http: //docker.example.com:2375/containers/create \ 
-d '{ 

"Image": "jamtur@1/jekyl1" 


{"Id": "591 
ba02d8d149e5ae5ec2ea30ffe85ed47558b9a40b7405e3b71553d9e59bed3", 
"Warnings":null} 





我 们 调用 了 /containers/create 接 入 点 ， 并 POST 了 一 个 JSON 散 列 数 
H, XDZ 二 构 中 包括 要 局 动 的 镜像 名 。 这 个 API 返 回 了 刚 创 建 的 容 妖 的 
ID， 以 及 可 能 的 警告 信息 。 这 条 命令 将 会 创建 一 个 容器 。 


我 们 可 以 在 创建 新 容 需 的 时 候 提 供 更 多 的 配置 ， 这 可 以 通过 在 JSON 散 
列 数据 中 加 入 键 值 对 来 实现 ， 如 代码 清单 8-14 所 示 。 


代码 清 间 

















8-14 通过 API 配 置 容器 启动 选项 























$ curl -X POST -H "Content-Type: application/json" \ 
"http: //docker.example.com:2375/containers/create?name=jekyll" \ 
-d '{ 

"Image": "jamtur@1/jekyl1l1", 

"Hostname": "jeky1l1" 


} 
{"Id":"591 
ba@2d8d149e5ae5ec2ea30FFe85ed47558b9a40b7405e3b71553d9e59bed3", 
"Warnings" :null} 





上 面 的 例子 中 我 们 指定 了 Hostname 键 ， 它 的 值 为 jeky11 ， 用 来 为 所 要 


创建 的 容器 设置 主机 名 。 


要 启动 一 个 容器 ， 需 要 使 用 /containers/start 接 入 点 ， 如 代码 清单 
8-15 所 示 。 





代码 清单 8-15 ”通过 API 启 动容 器 








$ curl -X POST -H "Content-Type: application/json" \ 
http: //docker.example.com:2375/containers/591 
ba@2d8d149e5ae5ec2ea30FFe85ed47558b9a40b7405e3b71553d9e59bed3/start \ 


-d '{ 


"PublishAllPorts":true 
y! 





将 这 两 个 API 组 合 在 一 起 ， 就 提供 了 与 docker run 相同 的 功能 ， 如 代 
码 清 单 8-16 所 示 。 





代码 清单 8-16” API 等同 于 docker run 命令 





$ sudo docker run Jjamtur61/Jjeky11 





我 们 也 可 以 通过 /containers/ 接 入 点 来 得 到 刚 创 建 的 容器 的 详细 信 


恩 ， 如 代码 清单 8-17 所 示 。 














代码 清单 8-17 通过 API 列 出 所 有 容器 























$ curl <a>http://docker.example.com:2375/containers/</a> 

591 
ba@2d8d149e5ae5ec2ea30Ffe85ed47558b9a40b7405e3b71553d9e59bed3/ 
json | python -mjson.tool 


"Args": [ 
"build", 
"--destination=/var/www/html" 
]， 
"Hostname": "591bae2d8d14", 
"Image": "jamtur@1/jekyll", 


"Td": "591 
ba02d8d149e5ae5ec2ea30ffe85ed47558b9a40b7405e3b71553d9e59bed3", 

"Image": "29 
d4355e575cff59d7b7ad837055f231970296846ab58a037dd84be520d1cc31", 


"Name": "/hopeful_davinci", 





在 这 里 可 以 看 到 ， 我 们 使 用 了 容器 ID 查询 了 我 们 的 容器 ， 并 展示 了 提供 
给 我 们 的 数据 的 示例 。 


8.4 改进 TProv 心 用 


现在 让 来 看 看 第 6 章 的 TProv 应 用 里 所 使 用 的 方法 。 我 们 来 看 看 用 来 创建 
和 删除 Docker 容 器 的 具体 方法 ， 如 代码 清单 8-18 所 示 。 


代码 清单 8-18 ”旧版 本 TProv 容 器 启动 方法 











def get war(name, url) 
cid = ‘docker run --name #{name} jamtur@1/fetcher #{url} 2>&1 .chop 
puts cid 
[$?.exitstatus == @, cid] 
end 
def create_instance(name) 
cid = “docker run -P --volumes-from #{name} -d -t jamtur@1/ 
tomcat7 2>&1 .chop 


[$?.exitstatus == @, cid] 

end 

def delete _instance(cid) 
kill = “docker kill #{cid} 2>&1° 
[$?.exitstatus == @, kill] 

end 





EES 可 以 在 本 书 网 站 4) 或 者 GitHub ©! 看 到 之 前 版 本 的 TProv 代 码 。 


很 粗糙 ， 不 是 吗 ? 我 们 直接 使 用 了 docker 程序 ， 然 后 再 捕获 它 的 输出 
结果 。 从 很 多 方面 来 说 这 都 是 有 问题 的 ， 其 中 最 重要 的 是 用 户 的 TProv 
应 用 将 只 能 运行 在 安装 了 Docker 客 户 端的 机 器 上 。 


我 们 可 以 使 用 Docker 的 客户 端 库 利 用 Docker API 来 改善 这 种 问题 。 在 本 
例 中 ， 我 们 将 使 用 Ruby Docker-API 客 户 端 库 1! 。 


可 以 在 http://docs.docker.com/reference/api/remote_api_client_libraries/ 找到 可 用 的 Docker 
客户 端 库 的 完整 列表 。 目 前 Docker 已 经 拥有 了 Ruby、Python、Node.JS、Go、Erlang、Java 以 
及 其 他 语言 的 库 。 


让 我 们 先 来 看 看 如 何 建 立 到 Docker API 的 连接 ， 如 代码 清单 8-19 所 示 。 


代码 清单 8-19 Docker Ruby 客 户 端 库 






























































require ‘docker' 


module TProv 
class Application < Sinatra::Base 


Docker.url = ENV['DOCKER_URL'] || 'http://localhost:2375' 


Docker.options = { 
:ssl_verify_peer => false 


} 





我 们 通过 require 指令 引入 了 docker-api 这 个 geam。 为 了 能 让 程序 正 
确 运行 ， 需 要 事先 安装 这 个 geam， 或 者 把 它 加 到 TProv 应 用 的 gem 
specification 中 去 。 








之 后 我 们 可 以 用 Docker.url 方法 指定 我 们 想 要 连接 的 Docker 答 主机 的 
地 址 。 在 上 面 的 代码 里 ， 我 们 用 了 DOCKER_URL 这 个 环境 变量 来 指定 这 
个 地 址 ， 或 者 使 用 默认 值 http://Localhost:2375 。 





我 们 还 通过 Docker .options 指定 了 我 们 想 传递 给 Docker 守 护 进 程 连接 
的 选项 。 


我 们 还 可 以 通过 IRB shell 在 本 地 来 验证 我 们 的 设想 。 现 在 就 来 试 一 试 。 
用 户 需 要 在 上 自己 想 测试 的 机 器 上 先 安 装 Ruby， 如 代码 清单 8-20 所 示 。 这 
里 假设 我 们 使 用 的 事 Fedora 答 主机 。 




















代码 清单 8-20 ”安装 Docker Ruby 客 户 端 API 











$ sudo yum -y install ruby ruby-irb 


$ sudo gem install docker-api json 





现在 我 们 就 可 以 用 irb 命令 来 测试 Docker API 连 接 了 ， 如 代码 清单 8-21 
所 示 。 
































代码 清单 8-21 用 irb 测试 Docker API 连 接 











$ irb 
irb(main):001:@> require 'docker'; require 'pp' 
=> true 
irb(main) :002:@> Docker.url = 'http://docker.example.com:2375' 
=> "http://docker.example.com: 2375" 
irb(main) :@03:@> Docker.options = { :ssl_verify_peer => false } 
=> {:ssl_verify_peer=>false} 
irb(main) :004:@> pp Docker.info 
{"Containers"=>9, 
"Debug"=>0, 
"Driver"=>"aufs", 
"DriverStatus"=>[["Root Dir", "/var/lib/docker/aufs"], ["Dirs", "882"]], 
"ExecutionDriver"=>"native-@.2", 


irb(main) :005:@> pp Docker.version 
{"ApiVersion"=>"1.12", 
"Arch"=>"amd64", 
"GitCommit"=>"990021a", 
"GoVersion"=>"go1.2.1", 
"KernelVersion"=>"3.8.0-29-generic", 
"Os"=>"linux", 

"Version"=>"1.0.1"} 





在 上 面 我 们 启动 了 irb 并 且 加 载 了 docker (通过 require 指令 ) 和 pp 
这 两 个 gem，pp 用 来 对 输出 进行 格式 化 以 方便 查看 。 之 后 我 们 调用 了 
Docker.url 和 Docker.options 两 个 方法 ， 来 设置 目的 Docker 主 机 地 
址 和 我 们 需要 的 一 些 选 项 (这 里 将 禁用 SSL 对 等 验证 ， 这 样 就 可 以 在 不 
通过 客户 端 认 证 的 情况 下 使 用 TLS) 。 


之 后 我 们 又 执行 了 两 个 全 局 方法 Docker.info 和 Docker.version , 

这 两 个 Ruby 客 户 端 API 提 供 了 与 docker info 及 docker version 两 个 
命令 相同 的 功能 。 

现在 我 们 就 可 以 在 TProv 应 用 中 通过 docker-api 这 个 客户 端 库 ， 来 使 
用 API 进 行 容器 管理 。 让 我 们 来 看 一 下 相关 代码 ， 如 代码 清单 8-22 所 
TR 0 




















代码 清单 8-22 ”修改 后 的 TProv 的 容器 管理 方法 


def get_war(name, url) 























container = Docker::Container.create('Cmd' => url, 'Image' => 
‘jamtur@1/fetcher', ‘name’ => name) 
container.start 
container.id 
end 
def create_instance(name) 
container = Docker::Container.create('Image’' => 'jamtur@1/tomcat7' ) 
container.start('PublishAllPorts' => true, 'VolumesFrom' => name) 
container.id 
end 
def delete_instance(cid) 
container = Docker: :Container.get(cid) 
container.kill 
end 





可 以 看 到 ， 我 们 用 Docker APIR SZ HERA A docker 程序 之 后 ， 代 
码 变 得 更 清晰 了 。 我 们 的 get_war 方法 使 

用 Docker: :Container.create 和 Docker: :Container.start 方法 
来 创建 和 局 动 我 们 的 jamtur8@1/fetcher 4s. delete instance 也 
能 完成 同样 的 工作 ， e 容器 。 最 后 ， 我 
们 对 delete_instance 方法 进行 了 修改 ， 首 先 会 





:Container.get 0 个 容器 实 
例 ， 然 后 再 通过 Docker: :Container.kill 方法 销量 VBA. 











读者 可 以 在 本 书 网 站 [1 或 者 GitHub 8] 上 看 到 改进 后 的 TProv 代 码 。 

















8.5 ”对 Docker Remote APTi 井 行 认证 


我 们 已 经 看 到 了 如 何 连 接 到 Docker Remote API， 不 过 这 也 意味 着 任何 其 
他 人 都 能 连接 到 同样 的 API。 从 安全 的 角度 上 看 ， 这 存在 一 点 儿 安 全 问 
题 。 不 过 值得 感谢 的 是 ， 自 Docker 的 0.9 版 本 开始 Docker Remote API 开 
始 提 供 了 认证 机 制 。 这 种 认证 机 制 采 用 了 TLS/SSL 证 书 来 确保 用 户 与 
API 之 间 连 接 的 安全 性 。 


Ea 该 认证 不 仅仅 适用 于 API。 通 过 这 个 认证 ， 还 需要 配置 Docker 客 户 来 支持 TLS 认 证 。 在 
本 节 中 我 们 也 将 看 到 如 何 对 客户 端 进行 配置 。 

































































有 几 种 方法 可 以 对 我 们 的 连接 进行 认证 ， 包 括 使 用 一 个 完整 的 PKI 基 础 
设施 ， 我 们 可 以 选择 创建 自己 的 证 书 授权 中 心 (Certificate Authority, 
CA) ， 或 者 使用 己 有 的 CA。 在 这 里 我 们 将 建立 自己 的 证 书 授权 中 心 ， 
因为 这 是 一 个 简单 、 快 速 的 开始 。 


人 它 也 不 像 使 用 一 个 完整 的 证 书 授权 中 心 那 








8.5.1 建立 证 书 授权 中 心 

我 们 将 快速 了 解 一 下 创建 所 需 CA 证 书 和 密 钥 (key) 的 方法 ， 在 大 多 数 
平台 上 这 都 是 一 个 非常 标准 的 过 程 。 在 开始 之 前 ， 我 们 需要 先 确 保 系 统 
已 经 安装 好 了 openssl ， 如 代码 清单 8-23 所 示 。 


代码 清单 8-23 ”检查 是 否 已 安装 openss1 











$ which openssl 
/usr/bin/openssl 





让 我 们 在 Docker 和 宿主 机 上 创建 一 个 目录 来 保存 我 们 的 CA 和 相关 资料 ， 
如 代码 清单 8-24 所 示 。 





代码 清单 8-24 创建 CA 目录 


$ sudo mkdir /etc/docker 





| | 
现在 就 来 创建 一 个 CA。 
我 们 需要 先生 成 一 个 私 钥 (private key) ， 如 代码 清单 8-25 所 示 。 

代码 清单 8-25 ”生成 私 钥 











$ cd /etc/docker 

$ echo @1 | sudo tee ca.srl 

$ sudo openssl genrsa -des3 -out ca-key.pem 
Generating RSA private key, 512 bit long modulus 
。。。. 十 十 十 十 十 十 十 十 十 十 十 十 


十 十 十 十 十 十 十 十 十 十 十 十 

e is 65537 (0x10001) 

Enter pass phrase for ca-key.pem: 

Verifying - Enter pass phrase for ca-key.pem: 





在 创建 私 钥 的 过 程 中 ， 我 们 需要 为 CA 密 钥 设置 一 个 密码 ， 我 们 需要 牢 
记 这 个 密码 ， 并 确保 它 的 安全 性 。 在 新 CA 中 ， 我 们 需要 用 这 个 密码 来 
创建 并 对 证 书签 名 。 

上 上面 的 操作 也 将 创建 一 个 名 为 ca-key.penm 的 新 文件 。 这 个 文件 是 我 们 
的 CA 的 密 钥 。 我 们 一 定 不 能 将 这 个 文件 透露 给 别人 ， 也 不 能 型 丢 这 个 
文件 ， 因 为 此 文件 关系 到 我 们 整个 解决 方案 的 安全 性 。 


现在 就 让 我 们 来 创建 一 个 CA 证 书 ， 如 代码 清单 8-26 所 示 。 


代码 清单 8-26 ”创建 CA 证 








| 











$ sudo openssl req -new -x509 -days 365 -key ca-key.pem -out ca.pem 
Enter pass phrase for ca-key.pem: 

You are about to be asked to enter information that will be incorporated 
into your certificate request. 

What you are about to enter is what is called a Distinguished Name or a 
DN. 

There are quite a few fields but you can leave some blank 

For some fields there will be a default value, 

If you enter '.', the field will be left blank. 


Country Name (2 letter code) [AU]: 


State or Province Name (full name) [Some-State]: 

Locality Name (eg, city) []: 

Organization Name (eg, company) [Internet Widgits Pty Ltd]: 
Organizational Unit Name (eg, section) []: 

Common Name (e.g. server FQDN or YOUR name) []:docker.example.com 
Email Address []: 





这 将 创建 一 个 名 为 ca.pem 的 文件 ， 这 也 是 我 们 的 CA 证 书 。 我 们 之 后 也 
会 用 这 个 文件 来 验证 连接 的 安全 性 。 


oe 了 自己 的 CA， 让 我 们 用 它 为 我 们 的 Docker 服 务 器 创建 证 书 
和 密 钥 。 


8.5.2 ”创建 服务 器 的 证 书签 名 请 求 和 密 钥 
我 们 可 以 用 新 CA 来 为 Docker 服 务 器 进行 证 书签 名 请 求 (certificate 


signing request, CSR) 和 密 钥 的 签名 和 验证 。 让 我 们 从 为 Docker 服 务 器 
创建 一 个 密 钥 开 始 ， 如 代码 清单 8-27 所 示 。 





代码 清单 8-27 ”创建 服务 器 密 钥 





$ sudo openssl genrsa -des3 -out server-key.pem 
Generating RSA private key, 512 bit long modulus 
十 十 十 十 十 十 十 十 十 十 十 十 
十 十 十 十 十 十 十 十 十 十 十 十 


e is 65537 (0x100@1) 
Enter pass phrase for server-key.pem: 
Verifying - Enter pass phrase for server-key.pem: 





这 将 为 我 们 的 服务 器 创建 一 个 密 钥 server-key.pem 。 像 前 面 一 样 ， 我 
们 要 确保 此 密 钥 的 安全 性 ， 这 是 保证 我 们 的 Docker 服 务 器 安全 的 基础 。 


隐语 在 这 一 步 设置 一 个 密码 。 我 们 将 会 在 正式 使 用 之 前 清除 这 个 密码 。 用 户 只 需要 在 后 面 
的 几 步 中 使 用 该 密 三 。 


接 看 ， 让 我 们 创建 服务 器 的 证 书签 名 请 求 《CSR〉， 如 代码 清单 8-28 所 
示 。 

































































uy 

















代码 清单 8-28 ”创建 服务 器 CSR 














$ sudo openssl req -new -key server-key.pem -out server.csr 

Enter pass phrase for server-key.pem: 

You are about to be asked to enter information that will be incorporated 
into your certificate request. 

What you are about to enter is what is called a Distinguished Name or a 
DN. 

There are quite a few fields but you can leave some blank 

For some fields there will be a default value, 

If you enter '.', the field will be left blank. 


Country Name (2 letter code) [AU]: 


State or Province Name (full name) [Some-State]: 

Locality Name (eg, city) []: 

Organization Name (eg, company) [Internet Widgits Pty Ltd]: 
Organizational Unit Name (eg, section) []: 

Common Name (e.g. server FQDN or YOUR name) []:* 

Email Address []: 

Please enter the following ‘extra’ attributes 

to be sent with your certificate request 

A challenge password []: 

An optional company name []: 





这 将 创建 一 个 名 为 server.csr 的 文件 。 这 也 是 一 个 请 求 ， 这 个 请 求 将 
为 创建 我 们 的 服务 器 证 书 进行 签名 。 在 这 些 选项 中 最 重要 的 是 Common 
Name 或 CN。 该 项 的 值 要 么 为 Docker 服 务 器 〈 即 从 DNS 中 解析 后 得 到 的 
结果 ， 比 如 docker.example.com ) 的 FQDN (fully qualified domain 
name， 完 全 限定 的 域名 ) 形式 ， 要 么 为 * ， 这 将 允许 在 任何 服务 器 上 使 
用 该 服务 器 证 书 。 


现在 让 我 们 来 对 CSR 进 行 签名 并 生成 服务 器 证 书 ， 如 代码 清单 8-29 所 
示 。 








tT 














代码 清单 8-29 对 CSR 进 行 签 名 




















$ sudo openssl x509 -req -days 365 -in server.csr -CA ca.pem \ 
-CAkey ca-key.pem -out server-cert.pem 

Signature ok 

subject=/C=AU/ST=Some-State/O=Internet Widgits Pty Ltd/CN=* 
Getting CA Private Key 

Enter pass phrase for ca-key.pem: 


pO 


在 这 里 ， 需 要 输入 CA 密 钥 文件 的 密码 ， 该 命令 会 生成 一 个 名 
为 server-cert.penm 的 文件 ， 这 个 文件 就 是 我 们 的 服务 器 证 书 。 


现在 就 让 我 们 来 清除 服务 器 密 钥 的 密码 ， 如 代码 清单 8-30 所 示 。 我 们 不 
想 在 Docker 守 护 进程 月 动 的 时 候 再 得 入 一 次 密码 ， 因 此 需要 清除 它 。 


代码 清单 8-30” 移 除 服 务 器 端 密 钥 的 密码 














$ sudo openssl rsa -in server-key.pem -out server-key.pem 
Enter pass phrase for server-key.pem: 


writing RSA key 








现在 ， 让 我 们 为 这 些 文件 添加 一 些 更 为 严格 的 权限 来 更 好 地 保护 它们 ， 
如 代码 清单 8-31 所 示 。 








代码 清单 8-31 设置 Docker 服 务 器 端 密 钥 和 证 书 的 安全 属性 








$ sudo chmod 0600 /etc/docker/server-key.pem /etc/docker/server-cert.pem \ 
/etc/docker/ca-key.pem /etc/docker/ca.pem 





8.5.3 配置 Docker 和 守护 进程 


现在 我 们 已 经 得 到 了 我 们 的 证 书 和 密 钥 ， 让 我 们 配置 Docker 守 护 进 程 来 
使 用 它们 。 因 为 我 们 会 在 Docker 守 护 进 程 中 对 外 提供 网 络 套 接 字 服务 ， 
因此 需要 先 编 辑 它 的 启动 配置 文件 。 和 之 前 一 样 ， 对 于 Ubuntu 或 者 
Debian 系 统 ， 我 们 需要 编辑 /etc/default/docker 文件 ， 对 于 使 用 了 
Upstart 的 系统 ， 则 需要 编辑 /etc/init/docker.conf 文件 ， 对 于 Red 
Hat、Fedora 及 相关 发 布 版 本 ， 则 需要 编辑 /etc/sysconfig/docker xX 
件 ， 对 于 那些 使 用 了 Systemd 的 发 布 版 本 ， 则 需要 编 

辑 /usr/1ib/systemd/docker.service 文件 。 


这 里 我 们 仍然 使 用 运行 Systemd 的 Red Hat 衍 生 版 本 为 例 继 续 说 明 。 编 
辑 /usr/” ~~ lib/systemd/system/docker.service 文件 内 容 ， 如 





代码 清单 8-32 所 示 。 





代码 清单 8-32 ”在 Systemd 中 启用 Docker TLS 











ExecStart=/usr/bin/docker -d -H tcp://0.0.0.0:2376 --tlsverify 
--tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem 


--tlskey=/etc/docker/server-key.pem 

















EE GS), SERIER T2376 端口 ， 这 是 Docker 中 TLS/SSL 的 默认 端口 号 。 对 于 非 认 
证 的 连接 ， 只 能 使 用 2375 这 个 端口 。 


这 上段 代码 通过 时 使 用 -tlsverify ` 标 志 来 启用 ``TLS``。 我 们 还 使 用 
`--tlscacert` `--tlscert` “和 ``-tlskey`` 这 ``3.` 个 参数 


上 定 了 CA 证 书 、 证 书 和 密 钥 的 位 置 。 关于 TLS 还 有 很 多 其 他 选项 可 以 使 
用 ， 请 参考 http://docs.docker.com/articles/https/ 。 
































思 对 可 以 使 用 --tls 标志 来 只 启用 TLS， 而 不 启用 客户 端 认 证 功能 


然后 我 们 需要 重新 加 载 并 启动 Docker 守 护 进 程 ， 这 可 以 使 用 systemct1l 
命令 来 完成 ， 如 代码 清单 8-33 所 示 。 


代码 清单 8-33 ”重新 加 载 并 启动 Docker 守 护 进程 


$ sudo systemctl --system daemon-reload 


8.5.4 创建 客户 端 证 书 和 密 铀 


我 们 的 服务 器 现在 已 经 户 用 了 TLS;， 接 下 来 ， 我 们 需要 创建 和 签名 证 书 
和 密 铀 ， 以 保证 我 们 Docker 客 户 端的 安全 性 。 让 我 们 先 从 创建 客户 端 密 
钥 开 始 ， 如 代码 清单 8-34 所 示 。 









































代码 清单 8-34 ”创建 客户 端 密 钥 











$ sudo openssl genrsa -des3 -out client-key.pem 
Generating RSA private key, 512 bit long modulus 
E 十 十 十 十 十 十 十 十 十 十 十 十 
和 十 十 十 十 十 十 十 十 十 十 十 十 


e is 65537 (0x100@1) 
Enter pass phrase for client-key.pem: 
Verifying - Enter pass phrase for client-key.pem: 





这 将 创建 一 个 名 为 client-key.pem 的 密 钥 文件 。 我 们 同样 需要 在 创建 
阶段 设置 一 个 临时 性 的 密码 。 


现在 让 我 们 来 创建 客户 端 CSR， 如 代码 清单 8-35 所 示 。 
代码 当 


上 




















8-35 ”创建 客户 端 CSR 

















$ sudo openssl req -new -key client-key.pem -out client.csr 

Enter pass phrase for client-key.pem: 

You are about to be asked to enter information that will be incorporated 
into your certificate request. 

What you are about to enter is what is called a Distinguished Name or a 
DN. 

There are quite a few fields but you can leave some blank 

For some fields there will be a default value, 

If you enter '.', the field will be left blank. 


Country Name (2 letter code) [AU]: 

State or Province Name (full name) [Some-State]: 
Locality Name (eg, city) []: 

Organization Name (eg, company) [Internet Widgits Pty Ltd]: 
Organizational Unit Name (eg, section) []: 
Common Name (e.g. server FQDN or YOUR name) []: 
Email Address []: 

Please enter the following ‘extra’ attributes 
to be sent with your certificate request 

A challenge password []: 

An optional company name []: 





接 下 来 ， 我 们 需要 通过 添加 一 些 扩展 的 SSL 属 性 ， 来 开启 我 们 的 密 钥 的 
客户 端 身份 认证 ， 如 代码 清单 8-36 所 示 。 


























代码 清单 8-36 ”添加 客户 端 认 证 属性 




















$ echo extendedKeyUsage = clientAuth > extfile.cnf 


Pt 


现在 让 我 们 在 目 己 的 CA 中 对 客户 端 CSR 进 行 签名 ， 如 代码 清单 8-37 所 
示 : 





代码 清单 8-37 对 客户 端 CSR 进 行 签名 








$ sudo openssl x509 -req -days 365 -in client.csr -CA ca.pem \ 
-CAkey ca-key.pem -out client-cert.pem -extfile extfile.cnf 
Signature ok 

subject=/C=AU/ST=Some-State/O=Internet Widgits Pty Ltd 


Getting CA Private Key 
Enter pass phrase for ca-key.pem: 





我 们 再 使 用 CA 密 钥 的 密码 创建 男 一 个 证 书 : client-cert.pem 。 


最 后 ， 我 们 需要 清除 client-cert.pem 文件 中 的 密码 ， 以 便 在 Docker 
客户 端 中 使 用 该 文件 ， 如 代码 清单 8-38 所 示 。 


代码 清单 8-38 移 除 客户 端 密 钥 的 密码 








$ sudo openssl rsa -in client-key.pem -out client-key.pem 
Enter pass phrase for client-key.pem: 


writing RSA key 





8.5.5 fic Docker? F sim FF Ja WA WED BE 


接 下 来 ， 配 置 我 们 的 Docker 客 户 端 来 使 用 我 们 新 的 TLS 配 置 。 之 所 以 需 
要 这 么 做 ， 是 因为 Docker 守 护 进程 现在 已 经 准备 接收 来 自 客户 端 和 API 
的 经 过 认证 的 连接 。 





我 们 需要 将 ca.pem 、c1lient-cert.pem 和 client-key.pem 这 3 个 文 
件 复制 到 想 运 行 Docker 客 户 端 的 宿主 机 上 。 

















fae 语 牢 记 ， 有 了 这 些 密 钥 就 能 以 root 身 份 访问 Docker 守 护 进程 ， 应 该 妥善 保管 这 些 密 钥 文 
件 。 














让 我 们 把 它们 复制 到 .docker 目录 下 ， 这 也 是 Docker 碍 找 证 书 和 密 钥 的 
默认 位 置 。Docker 默 认 会 查找 key.pem 、cert.pem 和 我 们 的 CA 证 
书 ca.pem ， 如 代码 清单 8-39 所 示 。 











代码 清单 8-39 复制 Docker 客 户 端的 密 铀 和 证 书 




















mkdir -p ~/.docker/ 
cp ca.pem ~/.docker/ca.pem 
cp client-key.pem ~/.docker/key.pem 


cp client-cert.pem ~/.docker/cert.pem 
chmod 0600 ~/.docker/key.pem ~/.docker/cert.pem 





PERM AM A PY mS IDocker' Sie Pelee 要 完成 此 工作 ， 我 们 将 
使 用 docker info 命令 ， 如 代码 清单 8-40 所 示 。 


代码 清单 8-40 测试 TLS 认 证 过 的 连接 























$ sudo docker -H=docker.example.com:2376 --tlsverify info 
Containers: 33 

Images: 104 

Storage Driver: aufs 

Root Dir: /var/lib/docker/aufs 

Dirs: 170 

Execution Driver: native-@.1 


Kernel Version: 3.8.0-29-generic 
Username: jamture@1 

Registry: [https://index.docker.io/v1/ ] 
WARNING: No swap limit support 





可 以 看 到 ， 我 们 已 经 指定 了 -H 标志 来 告诉 客户 端 要 连接 到 哪 台 主机 。 
如 果 不 想 在 每 次 启动 Docker 客 刻 省 时 都 指 定 -H 标志 ， 那 么 可 以 使 
FADOCKER_HOST 环境 变量 。 另 外 ， 我 们 也 指定 了 - -tlsverify 标注 ， 
它 使 我 们 通过 TLS 方 式 连接 到 Docker 守 护 进 程 。 我 们 不 需要 指定 任何 证 
书 或 者 密 钥 文件 ， 因 为 Docker 会 自己 在 我 们 的 ~/ .docker/ 目录 下 查找 
这 些 文件 。 如 果 确 实 需要 指定 这 些 文件 ， 则 可 以 使 用 --tlscacert 、- 
-tlscert 和 --tlskey 标志 来 指定 这 些 文件 的 位 置 。 


如 果 不 指定 TLS 连 接 将 会 怎样 呢 ? 让 我 们 去 挥 --tlsverify 标志 后 再 试 





一 下 ， 入 代码 清单 8-41 所 示 。 











代码 清单 8-41 测试 TLS 连 接 过 的 认证 

















$ sudo docker -H=docker.example.com:2376 info 
2014/04/13 17:50:03 malformed HTTP response "\x15\x@3\x@1\x00\xe2\xe2" 





哦 ， 出 错 了 。 如 果 看 到 这 样 的 错误 ， 用 户 残 应 该 知道 自己 可 能 是 没有 在 
连接 上 局 用 TLS， 可 能 是 没有 指定 正确 的 TLS 配 置 ， 也 可 能 是 用 户 的 证 
书 或 密 钥 不 正确 。 


如 末 一 切 都 能 正 芝 工作， 现在 怠 有 了 一 个 经 过 认证 的 Docker 连 接 了 。 


8.6 ”小 结 


在 这 一 章 中 我 们 介绍 了 Docker Remote API。 我 们 还 了 解 了 如 何 通过 
SSL/TLS 证 书 来 保护 Docker Remote API; 研究 了 Docker API， 以 及 如 何 
使 用 它 来 管理 镜像 和 容器 ;看 到 了 如 何 使 用 Docker API 客 户 端 库 之 一 来 
改写 我 们 的 TProv 应 用 ， 让 该 程序 直接 使 用 Docker API. 


在 下 一 章 也 就 是 最 后 一 章 中 ， 我 们 将 讨论 如 何 对 Docker 做 出 贡献 。 

















[1]  http://docs.docker.com/reference/api/ 

[2] http://hub.docker.com 

[3]  http://en.wikipedia.org/wiki/Representational_state_transfer 
[4] http://dockerbook.com/code/6/tomcat/tprov/ 


[5] https://github.com/jamtur01/dockerbook- 
code/tree/master/code/6/tomcat/tprov 


[6] — https://github.com/swipely/docker-api 
[7] http://dockerbook.com/code/8/tprov_api/ 


[8]  https://github.com/jamtur01/dockerbook- 
code/tree/master/code/8/tprov_api 


帮助 和 对 Docker 


poplin 





Docker 目 前 还 处 在 婴儿 期 ， 还 会 经 常 出 错 。 本 章 将 会 讨论 如 下 内 容 。 


e 如 何以 及 从 哪里 获得 帮助 。 
e 问 Docker 贡 献 补 本 和 新 特性 。 


读者 会 发 现在 哪里 可 以 找到 Docker 的 用 户 ， 以 及 寻求 帮助 的 最 佳 途径 。 
读者 还 会 学 到 如 何 参与 到 Docker 的 开发 者 社区 : 在 Docker 开 源 社 区 有 数 
百 提 交 者 ， 他 们 贡献 了 大 量 的 开发 工作 。 如 果 对 Docker 感 到 兴奋 ， 为 
Docker 项 目 做 出 目 己 的 贡献 是 很 容易 的 。 本 章 还 会 介 介绍 关于 如 何 贡 献 
Docker 项 目 ， 如 何 构建 一 个 Docker 开 发 环境 ， 以 及 如 何 建立 一 个 良好 的 
pull request 的 基础 知识 。 




















这 本章 假 设 读者 都 具备 Git、GitHub 和 Go 语言 的 基本 知识 ， 但 不 要 求 读 者 一 定 是 特别 精通 
这 些 知 识 的 开发 者 。 


9.1 获得 帮助 


Docker 的 社区 庞大 且 友 好 。 大 多 数 Docker 用 户 都 集中 使 用 下 面 3 节 中 介 
绍 的 3 种 方式 。 


本 要 Docker 公 司 也 提供 了 对 企业 的 付费 Docker 支 持 。 可 以 在 支持 页 面 看 到 相关 信息 。 
9.1.1 Docker 用 户 、 开 发 邮件 列表 及 论坛 
Docker 用 户 和 开发 邮件 列表 具体 如 下 。 


© Docker 用 户 邮件 列表 H 。 
© Docker 开 发 者 邮件 列表 P. 


Docker 用 户 列 表 一 般 都 是 关于 Docker 的 使 用 方法 和 求助 的 问题 。Docker 
开发 者 列表 则 更 关注 与 开发 相关 的 疑问 和 问题 。 


还 有 Docker 论 坛 B] 可 用 。 




















9.1.2 IRC 上 的 Docker 





Docker 社 区 还 有 两 个 很 强大 的 IRC 频 道 : #docker 和 #docker-dev 。 这 
两 个 频道 都 在 Freenode IRC 网 络 由 E. 


#docker 频道 一 般 也 都 是 讨论 用 户 求 助 和 基本 的 Docker 问 题 的 ， 
而 #docker-dev 都 是 Docker 页 献 者 用 来 讨论 Docker 源 代码 的 。 


可 以 在 https://botbot.me/freenode/docker/ 查看 #docker 频道 的 历史 信息 ， 
在 https:// botbot. me/freenode/docker-dev/ 查看 #docker-dev 频道 的 历史 


= 
日 /to 


9.1.3 GitHub 上 的 Docker 


Docker〈 和 和 它 的 大 部 分 组 件 以 及 生态 系统 ) 都 托管 在 
GitHub Chttp://www.github.com ) 上 。 了 Docker 本 身 的 核心 仓库 
在 https://github.com/docker/docker/ 。 


其 他 一 些 要 关注 的 仓库 如 下 。 


distribution Pl: 能 独立 运行 的 Docker Registry 分 发 工具 。 
e runc ll; Docker 容 器 格式 和 CLI 工 具 。 

Docker Swarm l! : Docker 的 编 配 框架 。 

e Docker Compose l! : Docker Compose 工 具 。 


9.2 报告 Docker 的 问题 


让 我 们 从 基本 的 提交 问题 和 补丁 以 及 与 Docker 社 区 进行 互动 开始 。 在 提 
交 Docker 问 ” 题 中 的 时 候 ， 要 牢记 我 们 要 做 一 个 良好 的 开源 社区 公 
民 ， 为 了 帮助 社区 解决 你 的 问题 ， 一 定 要 提供 有 用 的 信息 。 当 你 描述 一 
个 问题 的 时 候 ， 记 住 要 包含 如 下 背景 信息 : 


e docker info 和 docker version 命令 的 输出 ; 
e uname -a 命令 的 输出 。 


然后 还 需要 提供 天 于 你 过 到 的 问题 的 具体 说 明 ， 以 及 别人 能 够 重 现 该 问 
题 的 详细 步骤 。 


如 果 你 描述 的 是 一 个 功能 需求 ， 那 么 需要 仔细 解释 你 想 要 的 是 什么 以 及 
你 希望 它 将 是 如 何 工作 的 。 请 仔细 考虑 更 通用 的 用 例 ， 你 的 新 功能 只 能 
帮助 你 自己 ， 还 是 能 帮助 每 一 个 人 ? 


在 提交 新 问题 之 前 ， 请 花 点 儿 时 间 确 认 问 题库 里 没有 和 你 的 bug 报 告 或 
者 功能 需求 一 样 的 问题 。 如 果 已 经 有 类 似 问 题 了 ， 那 么 你 就 可 以 简单 地 
添加 一 个 “+1” 或 者 “我 也 有 类 似 问题 ”的 说 明 ， 如 果 你 觉得 你 的 输入 能 加 
速 建议 的 实现 或 者 bug 修 正 ， 你 可 以 添加 额外 的 有 实际 意义 的 更 新 。 











9.3 搭建 构建 环境 
为 了 使 为 Docker 做 出 贡献 更 容易 ， 我 们 接 下 来 会 介绍 如 何 构建 一 个 
Docker 开 发 环境 。 这 个 开发 环境 提供 了 所 有 为 了 让 Docker 工 作 而 必需 的 
依赖 和 构建 工具 。 
9.3.1 安装 Docker 
为 了 建立 开发 环境 ， 用 户 必 须 先 安装 Docker， 因 为 构建 环境 本 身 就 在 一 
个 Docker 容 器 里 面 。 我 们 将 使 用 Docker 来 构建 和 开发 Docker。 请 参照 第 
2 章 的 内 容 安装 Docker， 应 该 安装 当前 最 新 版 的 Docker。 
9.33.2 ”安装 源 代码 和 构建 工具 
接着 ， 需 要 安装 Make 和 Git， 这 样 就 可 以 检 出 Docker 的 源 代码 并 且 运 行 
构建 过 程 。Docker 的 源 代码 都 保存 在 GitHub 上 ， 而 构建 过 程 则 围绕 
着 Makefile 来 进行 。 
在 Ubuntu 上 ， 使 用 代码 清单 9-1 所 示 的 命令 安装 git E. 


代码 清单 9-1 在 Ubuntu 上 安装 git 


$ sudo apt-get -y install git make 


在 Red Hat 及 其 衍生 版 本 上 使 用 代码 清单 9-2 所 示 的 命令 。 
代码 清单 9-2 ”在 Red Hat 及 其 相关 衍生 版 本 上 安装 git 


$ sudo yum install git make 


9.3.3 ” 检 上 出 源 代码 
现在 让 我 们 检 出 (check out) Docker 的 源 代 码 〈 如 果 是 在 Docker 其 他 模 














块 上 工作 ， 请 选择 对 应 的 源 代 码 仓库 ) ， 并 换 到 源 代码 所 在 目录 ， 如 代 
码 清 单 9-3 所 示 。 








代码 清单 9-3 Check out Docker 源 代码 


$ git clone <a>https://github.com/docker/docker.git</a> 


$ cd docker 





现在 就 可 以 在 Docker 源 代码 上 进行 工作 和 修正 bug、 更 新 文档 或 者 编写 
非常 棒 的 新 功能 了 。 


9.3.4 贡献 文档 

让 人 兴奋 的 是 ， 任 何人 ， 即 使 他 不 是 开发 者 或 者 不 精通 Go 语言 ， 都 可 
以 通过 更 新 、 增 强 或 编写 新 文档 的 方式 为 同 Docker 做 出 页 献 。Docker 文 
档 40) 都 在 Docker 官 方 网 站 上 。 文 档 的 源 代 码 、 主 题 以 及 用 来 生成 官方 
文档 网 站 的 工具 都 保存 在 在 GitHub 上 的 Docker 仓 库 HH p, 


可 以 在 https://github.com/docker/docker/blob/master/docs/README.md 找 
到 关于 Docker 文 档 的 具体 指导 方针 和 基本 风格 指南 。 


可 以 在 本 地 使 用 Docker 本 身 来 构建 整个 文档 。 


在 对 文档 源 代码 进行 了 一 些 修改 之 后 ， 可 以 使 用 make 命令 来 构建 文 
档 ， 如 代码 清单 9-4 所 示 。 





代码 清单 9-4 构建 Docker 文 档 











$ cd docker 
$ make docs 


docker run --rm -it -e AWS S3 BUCKET -p 8000:8000 "docker-docs:master" 
mkdocs serve 


Running at: http://0.0.0.0:8000/ 
Live reload enabled. 
Hold ctrl+c to quit. 





之 后 就 可 以 在 浏览 器 中 打开 8886 端口 来 查看 本 地 版 本 的 Docker 文 档 
Te 


9.3.5 ”构建 开发 环境 


如 果 不 只 是 满足 于 为 Docker 的 文档 做 出 贡献 ， 可 以 使 用 make 和 Docker 
来 构建 一 个 开发 环境 ， 如 代码 清单 9-5 所 示 。 在 Docker 的 源 代 码 中 附带 
了 一 个 Dockerfile 文件 ， 我 们 使 用 这 个 文件 来 安装 所 有 必需 的 编译 和 
运行 时 依赖 ， 来 构建 和 测试 Docker。 














代码 清单 9-5 ”构建 Docker 环 境 


$ sudo make build 


ERD 如 果 是 第 一 次 执行 这 个 命令 ， 要 完成 这 个 过 程 将 会 花费 较 长 的 时 间 。 


上 面 的 命令 会 创建 一 个 完整 的 运行 着 的 Docker 开 发 环境 。 它 会 将 当前 的 
源 代 人 码 目 录 作 为 构建 上 下 文 (build context) 上 传 到 一 个 Docker 镜 像 ， 这 
个 镜像 包含 了 Go 和 其 他 所 有 几 知 的 依赖 ， 之 后 会 基于 这 个 镜像 启动 一 

下 容器 。 


使 用 这 个 开发 镜像 ， 也 可 以 创建 一 个 Docker 可 执行 程序 来 测试 任何 bug 
修正 或 新 功能 ， 如 代码 清单 9-6 所 示 。 这 里 我 们 又 用 到 了 make TH. 


代码 清单 9-6 ”构建 Docker 可 执行 程序 


$ sudo make binary 


这 条 命令 将 会 创建 Docker 可 执行 文件 ， 该 文件 保存 
在 ./bundles/&lt;version&gt; -dev/binaryy/ 卷 中 。 比 如 ， 在 这 个 
例子 里 我 们 得 到 的 结果 如 代码 清单 9-7 所 示 。 


代码 清单 9-7 ”dev 版 本 的 Docker dev 可 执行 程序 


















































$ ls -1 ~/docker/bundles/1.0.1-dev/binary/docker 
lrwxrwxrwx 1 root root 16 Jun 29 19:53 ~/docker/bundles/1.7.1-dev/binary/ 


docker -> docker-1.7.1-dev 


之 后 就 可 以 使 用 这 个 可 执行 程序 进行 测试 了 ， 方 法 是 运行 它 而 不 是 运行 
本 地 Docker 守 护 进 程 。 为 此 ， 我 们 需要 先 停止 之 前 的 Docker 然 后 再 运行 
这 个 新 的 Docker 可 执行 程序 ， 如 代码 清 蛙 9-8 所 示 。 


代码 清单 9-8 使 用 开发 版 的 Docker 守 护 进 程 









































$ sudo service docker stop 
$ ~/docker/bundles/1.7.1-dev/binary/docker -d 





这 会 以 交互 的 方式 运行 开发 版 本 Docker 守 护 进程 。 但 是 ， 如 果 你 愿意 的 
话 也 可 以 将 守护 进程 放 到 后 合 。 


接 独 我 们 就 可 以 使 用 新 的 Docker 可 执行 程序 来 和 刚刚 启动 的 Docker 守 护 
进程 进行 交互 操作 了 ， 如 代码 清单 9-9 所 示 。 


代码 清单 9-9 ”使 用 开发 版 的 docker 可 执行 文件 























$ ~/docker/bundles/1.7.1-dev/binary/docker version 
Client version: 1.7.1-dev 

Client API version: 1.19 

Go version (client): go1.2.1 

Git commit (client): d37c9a4 

Server version: 1.7.1-dev 


Server API version: 1.19 
Go version (server): go1.2.1 
Git commit (server): d37c9a 





可 以 看 到 ， 我 们 正在 运行 版 本 为 1.6.1-dev 的 客户 端 ， 这 个 客户 端正 好 
和 我 们 刚 启 动 的 1.6.1-dev 版 本 的 守护 进程 相对 应 。 可 以 通过 这 种 组 合 
来 测试 和 确保 对 Docker 所 做 的 所 有 修改 都 能 正 第 工作 。 


9.3.6 ”运行 测试 





TEPEHAN LAT BAER PTA KIDocker iR AB REARS te J fy E 
的 。 为 了 运行 所 有 Docker 的 测试 ， 需 要 执行 代码 清单 9-10 所 示 的 命令 。 


代码 清单 9-10 ”运行 Docker 测 试 








$ sudo make test 





这 条 命令 也 会 将 当前 代码 作为 构建 上 下 文 上 传 到 镜像 并 创建 一 个 新 的 开 
发 镜像 。 之 后 会 基于 此 镜像 月 动 一 个 容 希 ， 并 在 该 容器 中 运行 训 试 代 
码 。 同 样 ， 如 果 是 第 一 次 做 这 个 操作 ， 那 么 也 将 会 花费 一 些 时 间 。 


如 果 所 有 的 测试 都 通过 的 话 ， 那 么 该 命令 输出 的 最 后 部 分 看 起 来 会 如 代 
码 清 单 9-11 所 示 。 


























代码 清单 9-11 Dcoker 测 试 输出 结果 








[PASSED]: save - save 
[PASSED]: load load 
[PASSED]: save - save repo using -o 

[PASSED]: load load repo using -i 

[PASSED]: tag - busybox -> testfoobarbaz 

[PASSED]: tag - busybox's image ID -> testfoobarbaz 
[PASSED]: tag - busybox fooo/bar 


repo using stdout 


a 
a repo using stdout 
a 
a 


[PASSED]: tag - busybox fooaa/test 

[PASSED]: top - sleep process should be listed in non privileged mode 
[PASSED]: top - sleep process should be listed in privileged mode 
[PASSED]: version - verify that it works and that the output is properly 
formatted 


PASS 
PASS github.com/docker/docker/integration-cli 178.685s 























可 以 在 测试 运行 时 通过 $TESTFLAGS 环境 变量 来 传递 参数 。 
9.3.7 ”在 开发 环境 中 使 用 Docker 


也 可 以 在 新 构建 的 开发 容器 中 局 动 一 个 交互 式 会 话 ， 如 代码 清单 9-12 所 
示 。 














代码 清单 9-12 ”启动 交互 式 会 话 


$ sudo make shell 


要 想 从 容器 中 退出 ， 可 以 输入 exit 或 者 Ctrl+D。 
9.3.8 发 起 pull request 


如 果 对 自己 所 做 的 文档 更 新 、bug 修 正 或 者 新 功能 开发 非常 满意 ， 你 就 
可 以 在 GitHub 上 为 你 的 修改 提交 一 个 pull request。 为 了 提交 pull 
request， 和 需要 已 经 fork 了 Docker 仓 库 ， 并 在 你 自己 的 功能 分 文 上 进行 修 
Es 


。 如 果 是 一 个 bug 修 正 分 文 ， 那 么 分 文 名 为 XXXX-something ， 这 里 
的 XXXX 为 该 问题 的 编号 。 

。 如 条 是 一 个 新 功能 开发 分 文 ， 那 么 需要 先 创 建 一 个 新 功能 问题 宣 
你 都 要 干什么 ， 并 将 分 支 命 名 为 XXXX-something ， 这 里 的 XXXX 
也 是 该 问题 的 编写。 


你 必须 同时 提交 针对 你 所 做 修改 的 单元 测试 代码 。 可 以 参考 一 下 既 有 的 
测试 代码 来 寻找 一 些 灵 感 。 在 提交 pull request 之 前 ， 你 还 需要 在 自己 的 
分 文 上 运行 完整 的 测试 集 。 


任何 包含 新 功能 的 pull request 都 必须 同时 包括 更 新 过 的 文档 。 在 提交 
pull request 之 前 ， 应 该 使 用 上 面 提 到 的 流程 来 测试 你 对 文档 所 做 的 修 
改 。 当 然 你 也 需要 遵循 一 些 其 他 的 使 用 指南 〈 如 上 面 提 到 的 ) 。 


我 们 有 以 下 一 些 简单 的 规则 ， 遵 守 这 些 规则 有 助 于 你 的 pull requet A 
快 被 评审 Creview) 和 合并 。 


。 在 提交 代码 之 前 必须 总 是 对 每 个 被 修改 的 文件 运行 gofmt -s -w 
file .go 。 这 将 保证 代码 的 一 致 性 和 整洁 性 。 

。 pull request 的 描述 信息 应 该 尽 可 能 清晰 ， 并 且 包括 到 该 修改 解决 的 
所 有 问题 的 引用 。 

。 pull request 不 能 包括 来 自 其 他 人 或 者 分 支 的 代码 。 

o 提交 注释 (commit message) 必须 包括 一 个 以 大 写字 母 开 头 且 长 度 














在 50 字 符 之 内 的 简明 扼要 的 说 明 ， 简 要 说 明 后 面 可 以 跟 一 段 更 详细 
的 说 明 ， 详 细 说 明和 简要 说 明之 间 需 要 用 空 行 隔 开 。 

e 通过 git rebase -i 和 git push -f 尽量 将 你 的 提交 集中 到 一 个 
逻辑 可 工作 单元 。 同 时 对 文档 的 修改 也 应 该 放 到 同一 个 提交 中 ， 这 
样 在 撤销 (revert) 提交 时 ， 可 以 将 所 有 与 新 功能 或 者 bug 修 正 相 关 
的 信息 全 部 删除 。 


最 后 需要 注意 的 是 ，Docker 项 目 采 用 了 开发 者 原 产 证 明 书 (Developer 

Certificate of Origin，DCO) 机 制 ， 以 确认 你 所 提交 的 代码 都 是 你 自己 

写 的 或 者 你 有 权 将 其 以 开源 的 方式 发 布 。 你 可 以 阅读 一 篇 文章 AI OR y 
解 一 下 我 们 为 什么 要 这 么 做 。 应 用 这 个 证 书 非常 简单 ， 你 需要 做 的 只 是 
在 每 个 Git 提 交 消 息 中 添加 如 代码 清单 9-13 所 示 的 一 行 而 已 。 


代码 清单 9-13 Docker DCO 




















Docker-DCO-1.1-Signed-off-by: Joe Smith <joe.smith@email.com> (github: 
github_handle) 























国 本 到 用 户 必须 使 用 自己 的 真实 姓名 。 出 于 法 律 考虑 ， 我 们 不 允许 假名 或 匿名 的 贡献 。 
关于 签名 (signing) 的 需求 ， 这 里 也 有 几 个 小 例外 ， 有 具体 如 下 。 
e 你 的 补丁 修改 的 是 拼写 或 者 语法 错误 。 


。 你 的 补丁 只 修改 了 docs 目录 下 的 文档 的 一 行 。 
e 你 的 补丁 修改 了 docs 目录 下 的 文档 中 的 Markdown 格 式 或 者 语法 错 
































IRo 
还 有 一 种 对 Git 提 交 进 行 签 名 的 更 简单 的 方式 是 使 用 git commit -s 命 
A> 
X o 


老 的 Docker-DCo-1.1-Ssigned-off-by 方 式 现在 还 能 继续 使 用 ， 不 过 在 以 后 的 贡献 
中 ， 还 是 请 使 用 这 种 方法 。 


9.3.9 ”批准 合并 和 维护 者 


在 提交 了 pull request 之 后 ， 首 先 要 经 过 评审 ， 你 也 可 能 会 收 到 一 些 反 
饥 。Docker 采 用 了 与 Linux 内 核 维护 者 类 似 的 机 制 。Docker 的 每 个 组 件 





























都 有 一 个 或 者 知 干 个 维护 者 ， 维 护 者 负责 该 组 件 的 质量 、 稳 定性 以 及 未 
来 的 发 展 方向 。 维 护 者 的 背后 则 是 仁慈 的 独裁 者 兼 首席 维护 者 Solomon 
Hykes 53 ， 他 是 唯一 一 个 权利 凌驾 于 其 他 维护 者 之 上 的 人 ， 他 也 全 权 
负责 任命 新 的 维护 者 。 


Docker 的 维护 者 通过 在 代码 评审 中 使 用 LGTM (Looks Good To Me) 注 
解 来 表示 接受 此 pull request。 变 更 要 想 获 得 通过 ， 需 要 受 影响 的 每 个 组 
件 的 绝对 多 数 维护 者 〈 或 者 对 于 文档 ， 至 少 两 位 维护 者 ) 都 认为 LGTM 
才 行 。 比 如 ， 如 果 一 个 变更 影响 到 了 docs/ 和 registry/ 两 个 模块 ， 那 
S a 的 两 个 拥护 者 和 registry/ 的 绝对 多 数 维 
六 者 的 同意 。 








可 以 查看 维护 者 工作 流程 手册 04 来 了 解 更 多 关于 维护 者 的 详细 信息 。 





9.4 ”小结 


在 本 章 中 ， 我 们 学 习 了 如 何 获 得 Docker 帮 助 ， 以 及 有 用 的 Docker 社 区 成 
员 和 开发 者 聚集 的 地 方 。 我 们 也 学 习 了 记录 Docker 问 题 的 最 佳 方法 ， 包 
括 各 种 要 提供 的 必要 信息 ， 以 帮 你 得 到 最 好 的 反馈 。 


我 们 也 看 到 了 如 何 配置 一 个 开发 环境 来 修改 Docker 源 代码 或 者 文档 ， 以 
及 如 何在 开发 环境 中 进行 构建 和 测试 ， 以 保证 自己 所 做 的 修改 或 者 新 功 
能 能 正常 工作 。 最 后 ， 我 们 学 习 了 如 何 为 你 的 修改 创建 一 个 结构 良好 且 
品质 优秀 的 pull request。 
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如 果 您 对 本 书 内 容 有 疑问 ， 可 发 邮件 至 contact@Oepubit.com.cn， 会 有 编 
辑 或 作 译 者 协助 答疑 。 也 可 访问 异步 社区 ， 参 与 本 书 讨论 。 


如 果 是 有 关 电 子 书 的 建议 或 问题 ， 请 联系 专用 客服 邮箱 : 


ebook@epubit.com.cn. 
在 这 里 可 以 找到 我 们 : 


。 微 博 : @ 人 邮 异 步 社区 
e QQ 和 群 ， 368449889 
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